Персональные данные сотрудника банковские реквизиты

Нужно ли получать согласие работников на распространение персональных данных при выплате зарплаты на карту?

Добрый день! Подскажите, пожалуйста, нужно ли теперь с марта 2021 г. дополнительно получать с сотрудников согласие на распространение персональных данных третьим лицам (банку), если ЗП выплачиваем на уже действующую карту сотрудника (не по ЗП проекту)? Заявление от сотрудника с просьбой перечислять ЗП по указанным реквизитам есть, согласие на обработку персональных данных тоже.

Lola_Kuz, добрый день.

цитата с диска 1С ИТС

Новые правила работы с персональными данными.
Дата публикации 24.03.2021
Документ
Федеральный закон от 30.12.2020 № 519-ФЗ
Комментарий
1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
Введено новое понятие «персональные данные, разрешенные для распространения».
Речь идет о распространении персональных данных неограниченному кругу лиц.
Этот новый термин, по сути, пришел на смену прежнему – «общедоступные персональные данные».
Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках.
Получив персональные данные, оператор не вправе распространять их, как это было раньше.
В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные.
Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные.
Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.
Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие
Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ –  письменное согласие на обработку его персданных.
Теперь этого недостаточно.
Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение).
Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.
Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ).
Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д.
Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).
Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).
Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):
например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).
Содержание согласия на распространение персональных данныхТребования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ).
На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.
Из текста проекта следует, что новое согласие на распространение персданных должно содержать:
Ф. И. О. субъекта персональных данных;
контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
наименование или Ф. И. О. и адрес оператора, получающего согласие;
цель обработки персональных данных;
категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;условия разрешения и запрета обработки персональных данных;
срок, в течение которого действует согласие;
сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ.
Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.
Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ).
Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.
Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).
Нельзя распространять общедоступные персональные данные без согласия
Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится.
Дело в том, что теперь это прямо запрещено законом.
Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки.
Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ).
Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.
Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных
Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ).
Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).
Субъект может отозвать согласие на распространение персональных данных
Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ)  персональных данных по требованию субъекта персданных.
Для этого гражданин должен написать заявление об отзыве согласия на их распространение.
В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):
Ф. И. О.;
контакты (номер телефона, адрес электронной почты или почтовый адрес);
перечень персональных данных, обработка которых должна быть прекращена.
Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления.
В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).
Работодателям придется соблюдать новые правила в полном объеме
Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями.
Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных.
В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:
когда договор заключается непосредственно между банком и работником;
когда у работодателя есть доверенность на представление интересов работника в банке;
когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Но даже в перечисленных случаях во избежание возможных разногласий рекомендуется получить предварительное согласие работника на распространение его персональных данных.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?
В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам.
Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов.
Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных.

smv_mars, Спасибо, читала эту информацию в интернете. Но здесь говорится в основном про выпуск карты, так как для этого действительно требуется передать персональные данные сотрудника в банк (паспортные и т.д.). Но когда мы по заявлению сотрудника перечисляем на его уже действующую карту ЗП, мы в банке указываем только его банковские реквизиты и ФИО в платежном поручении. Считается ли это передачей персональных данных?

Lola_Kuz, как я уже написала выше

Цитата (smv_mars):В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам.
Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов.

Цитата (Lola_Kuz):когда мы по заявлению сотрудника перечисляем на его уже действующую карту ЗП, мы в банке указываем только его банковские реквизиты и ФИО в платежном поручении. Считается ли это передачей персональных данных?

нет.

г. Ростов-на-Дону532 729 баллов

Добрый день!

Цитата (Lola_Kuz):Подскажите, пожалуйста, нужно ли теперь с марта 2021 г. дополнительно получать с сотрудников согласие на распространение персональных данных третьим лицам (банку), если ЗП выплачиваем на уже действующую карту сотрудника (не по ЗП проекту)? Заявление от сотрудника с просьбой перечислять ЗП по указанным реквизитам есть, согласие на обработку персональных данных тоже.

Как правило, если перечисление ЗП идет  не по ЗП проекту , то сотрудник сам отрывает карту и приносит Вам  уже готовые реквизиты для перечисления. Думаю, что в этом случае не нужно  получать  от сотрудника согласие на распространение персональных данных третьим лицам (банку), так как   работодатель  перечисление заработной платы работнику производит уже по предоставленным реквизитам карты, которую работник оформил самостоятельно.
Далее. Если в ТД предусмотрено, что за выполнение трудовых обязанностей, сотруднику   выплачивать зарплату нужно на банковскую карту, то в этом случае работодатель продолжает действовать  в интересах самого сотрудника в рамках трудового договора (п. 5 ч. 1 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ), перечисляя З/П на карту..

Ольга Рогова, Спасибо большое!

Источник

Такой вопрос часто возникает в связи с просьбой работника платить зарплату на банковскую карту, при смене зарплатного банка или при получении от банка запроса на сведения о работнике (например, если работник является заемщиком этого банка). Или не возникает, из-за чего работодатель допускает нарушения.

За нарушения с персональными данными предусмотрены различные виды ответственности, включая административную, материальную, гражданско-правовую и даже уголовную. Подробно об ответственности вы можете узнать в Путеводителе от «КонсультантПлюс». Пробный доступ к системе можно получить бесплатно.

Не нарушая закон (от 27.07.2006 № 152-ФЗ), сведения в банк можно предоставить, только получив от работника согласие на передачу его персональных данных.

Исключением является ситуация, когда перечисление зарплаты на карты предусмотрено ЛНА работодателя и сотрудника ознакомили с ними при приеме на работу. В этом случае получать отдельное согласие работодатель не обязан, так как действует в интересах работника в рамках заключенного с ним трудового договора.

Персональные данные без штрафов

Время прохождения около 5 мин.


Пройти тест

Если же у работодателя приняты иные способы оплаты труда или они не оговорены, а работник просить платить зарплату через банк, получить его согласие на передачу персональных данных банку нужно в обязательном порядке. В согласии лучше не указывать конкретный банк с наименованием. Иначе при последующей смене кредитной организации согласие придется получать повторно. Ведь, согласно п. 1 ст. 9 закона № 152-ФЗ, согласие на обработку персональных данных должно быть конкретным.

Что касается предоставления сведений по запросу из банка, то здесь без согласия тоже никак не обойтись. Все ситуации, органы и организации, для передачи информации о сотруднике которым его согласие не требуется, закреплены законодательно (см. ст. 88 ТК РФ, п. 2 ст. 6 закона № 152-ФЗ, законы «О персучете» от 01.04.1996 № 27-ФЗ, «О полиции» от 07.02.2011 № 3-ФЗ, «О прокуратуре» от 17.01.1992 № 2202-1 и др.). И банков в числе таких организаций нет.

Это значит, что ответив на запрос банка при отсутствии согласия работника, работодатель и его ответственный за работу с персданными сотрудник могут попасть под санкции.

Оформить согласие работника на передачу его персональных данных с учетом всех изменений в законодательстве с 2021 года вам помогут разъяснения и образцы от экспертов «КонсультантПлюс». Если у вас еще нет доступа к К+, оформите пробный доступ. Это бесплатно.

Кто и как проверяет соблюдение работодателями требований закона о персональных данных, узнайте из нашей статьи.

Источник

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

В п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 152‑ФЗ) предусмотрено, что персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Как видно из приведенного определения, закон не содержит исчерпывающего перечня сведений, которые входят в круг персональных данных. Соответственно, в каждом случае необходимо определить, может ли та или иная информация быть отнесена к конкретному лицу. Поможет в этом анализ судебной практики.

«Классические» персональные данные

К «классическим» персональным данным относятся Ф.И.О. физического лица, ведь они позволяют его идентифицировать среди остальной массы людей, поэтому без согласия человека обработка таких персональных данных не допускается.

Судебная практика

Банки не могут распространять платежные карты с открытыми данными клиентов, а управляющие компании рассылать в открытом виде платежные документы, поскольку в таком случае персональные данные людей не защищены от случайного к ним доступа со стороны третьих лиц (апелляционное определение Самарского областного суда от 17.10.2019 № 33-12118/2019).

Помимо Ф.И.О. к числу персональных данных физического лица также относится и конкретный адрес его проживания, включающий город, улицу, номера дома и квартиры, а вот неполный адрес (без указания определенной квартиры) уже не позволяет установить конкретного субъекта персональных данных. В многоквартирном доме находится много квартир, поэтому такой общий адрес нельзя соотнести с конкретным человеком.

Судебная практика

Типичным нарушением со стороны управляющей компании, под управлением которой находится жилой дом, является размещение на входной двери, ведущей в подъезд, на стендах и в иных местах, открытых для всеобщего доступа, информации о наличии задолженности по оплате электроэнергии и коммунальных платежей в отношении конкретных граждан с указанием номеров их квартир. Указанные сведения относятся к частной жизни конкретных лиц, поэтому их разглашение будет считаться нарушением, что дает пострадавшему лицу право требовать взыскания денежной компенсации морального вреда на основании ст. 151 ГК РФ (решение Московского районного суда г. Калининграда от 19.04.2017 по делу № 2-688/2017).

Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя. Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга. Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).

Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.

Судебная практика

Суд указал, что не будет считаться нарушением размещение информации о наличии задолженности по оплате электроэнергии и коммунальных услуг с перечнем соответствующих квартир, но без указания таких персональных данных, как Ф.И.О. (апелляционное определение Свердловского областного суда от 19.09.2019 по делу № 33-15137/2019).

Жители многоквартирного дома, проживающие в конкретном подъезде, скорее всего, знают друг друга в лицо и по имени, поэтому хоть и не всегда, но в определенных случаях могут соотнести данные о номере квартиры со своими соседями, что позволяет рассматривать номер квартиры как персональные данные конкретных лиц. При таких обстоятельствах можно сделать однозначный вывод: размещение информации о наличии задолженности на стенде подъезда многоквартирного дома с указанием конкретных номеров квартир может рассматриваться как нарушение законодательства о защите персональных данных. Иным образом будет обстоять дело в случае, когда на информационном стенде вывешивается не объявление, а индивидуальное обращение к конкретному лицу по вопросу, представляющему определенную значимость.

Судебная практика

Гражданин при входе в подъезд своего жилого дома неожиданно для себя увидел требовательную надпись о том, что ему надлежит вернуть аннулированную доверенность конкретному человеку. Гражданин полагал, что вывешивание такого объявления нарушает требования законодательства по защите персональных данных. Однако суд его требования не поддержал, отметив, что само по себе размещение информации не является обработкой персональных данных и не требует получения разрешения (апелляционное определение Волгоградского областного суда от 09.01.2019 по делу № 33-774/2019).

В состав персональных данных гражданина также входят год, дата, месяц и место его рождения, семейное и имущественное положение, уровень образования, размер доходов, а также иная информация, посредством которой можно идентифицировать конкретное физическое лицо. В качестве персональных данных можно также рассматривать серию и номер паспорта гражданина, которые представляют собой уникальную комбинацию цифр, указываемых в основном документе, удостоверяющем его личность. У другого гражданина реквизиты основного документа, удостоверяющего личность, будут другими, поэтому реквизиты паспорта также могут быть отнесены к числу персональных данных.

Персональные данные под вопросом

Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд 1. По нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей.

Как нам представляется, те или иные разрозненные сведения, рассматриваемые отдельно,…

Источник

Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами. Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия.

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты. 

Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.  

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников? 

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  • если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  • при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

А во-вторых, она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Это значит, что:

  • в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  • в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  • анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  • в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

  • перечень персональных данных строго соответствовал тому, что передается в банк;
  • была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.

Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:

  • договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  • у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата. 

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную. 

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Каким должно быть согласие на обработку персональных данных

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  1. Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Оформление доски почета

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Персональные данные для пропуска

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требуется оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  • компания самостоятельно осуществляет пропускной режим;
  • если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Кадровый и бухгалтерский учет на аутсорсе и персональные данные

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.

Что делать с персональными данными уволенных сотрудников

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Источник

После нововведений в любой момент компанию могут проверить. Например, сотрудник пожалуется в Роскомнадзор, что руководитель передал банку его персональные данные или вывесил на стенде заявление в качестве образца. В компанию придет проверяющий и оштрафует за каждую обнаруженную ошибку в работе с персональными данными. 

Рассказываем, за какие нарушения наказывает Роскомнадзор, и как избежать штрафов. 

Что такое персональные данные

Персональные данные (ПД) — это любые сведения или факты о человеке, по которым можно прямо или косвенно установить его личность. В законе нет перечня, какие сведения относятся к персональным данным. Поэтому мы приводим примерный список, который вы можете сокращать или расширять:

  • Ф. И. О.;

  • пол, возраст или дата рождения;

  • образование, профессия, квалификация;

  • адрес проживания и номер телефона;

  • семейное положение, наличие детей;

  • факты биографии;

  • финансовое состояние и размер зарплаты;

  • ссылка на персональный сайт или профиль в социальной сети;

  • фотографии и видеоматериалы, по которым можно установить личность человека.

Важно: без согласия работника нельзя хранить и распространять сведения о нем. 

Например, на сайте опубликован обезличенный номер телефона, и непонятно, кому именно он принадлежит — это не нарушает закона о персональных данных. Но если на сайте опубликованы фамилия сотрудника, его должность и контакты для связи, руководителю необходимо получить согласие работника на публикацию этих сведений. 

Операторы персональных данных. Если обычный человек, ИП, организация, учреждение органов власти собирают, обрабатывают и хранят ПД — они автоматически становятся операторами персональных данных. Интернет-магазин, на сайте которого пользователь добровольно вводит сведения о себе (имя или логин, адрес электронной почты или телефон, адрес для доставки товара), становится оператором ПД. 

Работодатели тоже считаются операторами персональных данных, потому что они собирают, хранят и распространяют личные сведения о сотрудниках. 

Когда нужно получить согласие на распространение

С 1 марта 2021 года закон о персональных данных изменился. До нововведения операторы писали общий текст согласия на хранение, обработку и распространения ПД. Если работник подписывал такой документ — работодатель мог распоряжаться сведениями о сотрудниках по своему усмотрению: опубликовать на сайте или в СМИ, передать партнерам. Сейчас ужесточились требования к форме согласия — в документе нужно прямо и недвусмысленно указать перечень данных, которые планируете распространять. Это требование касается компаний, которые предоставляют сведения о сотруднике неопределенному кругу лиц или передают третьим лицам. 

Распространение сведений неопределенному кругу лиц. Если личные сведения сотрудника могут стать публичными, — работодатель обязан оформить согласие на их распространение. Например, согласие необходимо получить, если организация:

  • публикует на сайте сведения о сотрудниках;

  • в СМИ, социальных сетях или на корпоративном сайте дает ссылки на аккаунты сотрудников;

  • использует личный телефон сотрудника в рекламных материалах. 

Передача сведений третьим лицам. Если работодатель передает личные сведения о работнике третьим лицам, необходимо получить согласие на обработку и распространение ПД. Рассмотрим три рабочих ситуации, связанных с передачей данных. 

  • Кладовщик отправил грузчика получить товар и выдал доверенность, в которой указаны паспортные данные работника. 

  • Руководитель заключил со страховщиками договор ДМС и вписал в полис сведения из паспорта сотрудника. 

  • Бухгалтер передала кредитному менеджеру сведения о должности и зарплате сотрудника, его банковские реквизиты. 

Во всех этих ситуациях сведения о сотрудниках переходят третьим лицам, поэтому необходимо получить согласие на распространение ПД.  

Когда не нужно брать согласие на распространение

Работодатель может не брать у сотрудников согласие на распространение данных, которые запрашиваются по трудовому законодательству. Эта информация нужна, чтобы начислять зарплату, заполнять трудовые книжки и отчитываться в различные фонды. Например, не нужно получать согласие на хранение сведений, которые попадают в личную карточку работника:

  • паспортные данные;

  • трудовая книжка;

  • свидетельство о пенсионной страховке — СНИЛС;

  • диплом или другие документы, подтверждающие образование и квалификацию;

  • документы воинского учета — для лиц, которых могут призвать в армию.

Кроме того, есть ряд государственных учреждений, куда работодатель может передавать персональные данные без согласия сотрудника:

  • полиция и прокуратура;

  • ФСС и ПФР;

  • налоговая инспекция;

  • медицинские организации;

  • суд и служба судебных приставов.

Во всех остальных случаях необходимо получить согласие сотрудника. 

Как составить согласие на распространение

Можно оформить бумажный или электронный документ. Унифицированной формы согласия нет, но Роскомнадзор перечислил сведения, которые необходимо внести в согласие:

  • Ф. И. О. сотрудника;

  • контакты сотрудника (номер телефона, домашний адрес, email); 

  • наименование, адрес, ИНН и ОГРН работодателя;

  • сервер, домен или имя файла веб-страницы, на которой будут опубликованы персональные данные сотрудника;

  • цель обработки ПД;

  • перечень персональных данных, на которые работодатель получает согласие (Ф. И. О., дата рождения, семейное положение, образование, профессия, социальное положение, доходы, национальность, состояние здоровья, политические, религиозные и философские убеждения, интимная жизнь, биометрические персональные данные);

  • условия, при которых персональные данные можно передать третьим лицам.

Отдельно необходимо перечислить сведения, в отношении которых устанавливаются запреты и ограничения. По своему желанию работник помечает сведения, на которые он устанавливает запрет на распространение. 

Пример

Менеджер Круглов И. И. письменно разрешил опубликовать на сайте компании Ф. И. О., дату и месяц рождения, но отказался указывать год и место рождения. 

Пример образца согласия

Образец согласия на обработку и распространение персональных данных 
С 1 июля 2021 года на сайте Роскомнадзор действует сервис, который помогает работодателю составить форму согласия на обработку персональных данных, разрешенных для распространения. Воспользоваться сервисом могут работодатели, авторизованные на Госуслугах. Рекомендации роскомнадзора
Специалисты Роскомнадзора проверяют заполненную форму, указывают на ошибки и рекомендуют, какие еще сведения нужно включить в документ  

Сколько хранить персональные данные

После увольнения сотрудника работодатель продолжает хранить его персональные данные. Это необходимо, чтобы начислить, удержать и перечислить налоги за последний месяц работы, отчитаться в фонды и налоговую инспекцию, предоставить документы проверяющим. 

Срок хранения — 3 года начиная с 1 января следующего года. Например, если сотрудник уволился в августе 2021 года, то его согласие на обработку ПД можно уничтожить только после 1 января 2025 года.

Ответственность за нарушение закона о персональных данных 

С 27 марта 2021 года в два раза выросли штрафы за нарушение правил работы с личной информацией сотрудников. Самый высокий штраф — 500 000 ₽.

Обработка персональных данных без письменного согласия сотрудника. К обработке персональных данных относится передача, хранение и распространение. Если работодатель нарушит один из этих пунктов, например, на общем собрании расскажет о зарплате сотрудника, премиях, бонусах и других денежных вознаграждениях — его могут оштрафовать.

Не выполнили требование сотрудника обновить, заблокировать или уничтожить его персональные данные. Например, кадровик забыл обновить в зарплатной карте паспортные данные работника или его банковские реквизиты, и сотрудник не смог вовремя получить зарплату — это нарушение. 

Сотруднику не предоставили информацию о его персональных данных. Например, бухгалтер не выдал сотруднику расчетный листок, справку или сведения о страховом стаже. Если сотрудник пожалуется в надзорные органы — оштрафуют бухгалтера и компанию.

Нарушили условия хранения персональных данных. Если бухгалтер оставит на рабочем столе расчетные листки сотрудников, и посторонние увидят сведения о зарплате — бухгалтера и компанию могут оштрафовать. 

Обработка персональных данных в ситуациях, не описанных в законе. Например, работодатель передал личные сведения сотрудника — Ф. И. О., адрес, телефон — коллекторскому агентству. Если сотрудник не давал согласия на передачу этих данных третьим лицам, значит, работодатель нарушил закон. 

Лариса Трембицкая, разбирается в трудовом законодательстве

Источник

Понравилась статья? Поделить с друзьями:
  • Персональные данные сотрудников это активы компании
  • Перспектива юридическая компания отзывы сотрудников
  • Перспективные акции российских компаний на 2019 год
  • Перспективные ниши для бизнеса в россии в 2023 году
  • Петербургская локомотиворемонтная компания ооо плрк