Слід зазначити, що в більшій мірі, відповідний закон стосується відносин у сфері обміну та поширення інформації в електронному вигляді. Застосовуючи закон до трудових відносин, доцільно внести до Положення про персональні дані, обмеження на зберігання персональної інформації про працівників за межами РФ.
Більш детальну інформацію з цього питання Ви зможете знайти в додаток до відповіді нижче.
Подробиці в матеріалах Системи Кадри:
Зберігання персональних даних в Росії. Які особливості є для відомостей про працівників
- Чи вважається архів з особистими справами працівників базою даних
- Хто має право не повідомляти в Роскомнадзор про обробку персональних даних
- Як скласти згоду працівника на обробку даних при переході на аутсорсинг
І, звичайно, контролюйте схоронність відомостей про працівників. Обмежте доступ до персональних даних та визначте, хто має право працювати з трудовими книжками, особовими справами і зарплатними відомостями.
Зберігання персональних даних
Що таке локалізація баз даних і на кого вона поширюється?
Приклад бази даних з персональними даними - це таблиця з інформацією про клієнтів, контактних осіб клієнтів компанії. Робота з такою базою передбачає:
- зберігання,
- накопичення,
- уточнення,
- систематизацію та ін. Види обробки.
Правило про локалізацію баз даних в першу чергу зачіпає інтереси організацій, які входять в міжнародні групи компаній, і філії (представництва) іноземних фірм. Але воно також може торкнутися російських компаній, наприклад, використовують послуги провайдерів хмарних сервісів; часто серверні потужності, що надаються такими провайдерами, знаходяться за кордоном.
Чи можна зберігати базу даних на співробітників за кордоном?
До того, як з'являться однозначні офіційні роз'яснення та судова практика по даному виду суперечок, рекомендується зберігати бази даних співробітників на території Росії.
Формально персональні дані працівників роботодавець має право обробляти не тільки на території Росії, але і за кордоном. Адже ч. 5 ст. 18 Закону № 152-ФЗ не забороняє транскордонну передачу даних. Крім того, є винятки з правила про локалізацію баз даних. Наприклад, коли роботодавець обробляє персональні дані для досягнення цілей, передбачених законом. Або якщо роботодавець виконує функції, повноваження і обов'язки, які покладені на нього законодавством.
Роботодавець зобов'язаний зібрати і обробити дані про працівника при укладенні трудового договору (ст.ст. 57. 64 ТК РФ). Так, в кожному договорі вказуються його ПІБ і паспортні дані, а ця інформація - персональні дані (п. 1 ст. 3 Закону № 152-ФЗ). В подальшому роботодавець також збирає і обробляє інформацію про працівника, наприклад, про статус одинокої матері при прийнятті рішення про звільнення (ч. 2 ст. 179. ч. 4 ст. 261 ТК РФ). Тобто персональні дані обробляються, щоб виконати вимоги закону.
персональні дані - будь-яка інформація, за якою можна визначити, що мова йде про конкретний працівника (п. 1 ст. 3 Закону № 152-ФЗ, подп. «а» ст. 2 Конвенції про захист фізичних осіб при автоматизованій обробці персональних даних, укладена в м Страсбурзі 28.01.1981).
Однак спірним є те, наскільки необхідна обробка даних за кордоном.
Цей підхід є логічним. Наприклад, компанія відкриває в Росії невелика представництво, в якому відсутня кадровий працівник. Питання кадрів вирішують співробітники головного офісу або іноземного регіонального центру. У такій ситуації обгрунтовано, що база даних знаходиться за межами Росії.
Тому краще зберігати інформацію про працівників на території Росії. Якщо цьому заважають організаційні моменти, потрібно буде довести, що роботодавець обробляє персональні дані за межами РФ в силу закону.
До слова сказати:
положення про обробку персональних даних потрібно розробити в кожній компанії (ст. 86-88 ТК РФ). І не забудьте ознайомити з положенням кожного працівника при прийомі на роботу (ч. 3 ст. 68 ТК РФ).
Шафа з особистими справами працівників - це база даних чи ні?
Роскомнадзор розглядає шафа як базу даних, а Мінкомзв'язку - немає. Судової практики з даного питання немає.
Мінкомзв'язку вважає, що база даних може бути тільки електронної. При цьому чиновники посилаються на ст. 1260 ЦК України; в ній розкрито поняття «база даних». Під базою даних розуміють систематизовані матеріали, які можна знайти і обробити за допомогою електронно-обчислювальної машини (ЕОМ). До матеріалів відносяться статті, розрахунки, нормативні акти, судові рішення та інші подібні матеріали.
Роскомнадзор до баз даних відносить, в тому числі:
- електронні файли у форматі Excel або Word (списки, таблиці);
- архіви, картотеки на паперових носіях.
цитуємо документ
«База персональних даних - впорядкований масив персональних даних, незалежний від виду матеріального носія інформації і використовуваних засобів його обробки (архіви, картотеки, електронні бази даних)».
На якій території можна обробляти дані повторно, якщо їх зібрали і зберегли в Росії?
Вторинну (подальшу) обробку персональних даних у формі зберігання і іншим чином, зазначеному в Законі № 242-ФЗ, потрібно вести в Росії. Незважаючи на неоднозначні роз'яснення Мінкомзв'язку, це найбільш безпечний спосіб обробки персональних даних.
працівника, який мав доступ до персональних даних колег і розголосив їх, можна звільнити «за статтею». В цьому випадку застосовуйте подп. «В» п. 6 ч. 1 ст. 81 ТК РФ.
Позиція про необхідність локалізації бази даних тільки при первинному зборі інформації більшою мірою відповідає інтересам роботодавців. Але варто визнати, що повністю обгрунтувати її нормами закону складно. Так, теза про те, що під збором персональних даних розуміється їх отримання безпосередньо від суб'єкта, наприклад від кандидата при наймі, не узгоджується з ч. 3 ст. 18 «Обов'язки оператора при зборі персональних даних» Закону № 152-ФЗ. За цією нормою дані можна отримати від третіх осіб.
Повідомлення про обробку персональних даних
У яких випадках потрібно повідомити Роскомнадзор про обробку персональних даних?
Якщо компанія обробляє персональні дані не тільки працівників і контрагентів - фізичних осіб. Тобто фактично будь-яка компанія зобов'язана повідомити чиновників про обробку персональних даних.
За загальним правилом роботодавець зобов'язаний направити в Роскомнадзор повідомлення про початок обробки персональних даних (ч. 1 ст. 22 Закону № 152-ФЗ). Багато компаній до сих пір цього не зробили. Вони обґрунтовують це так: роботодавець обробляє персональні дані тільки своїх працівників. Тому компанія підпадає під виключення, яке встановлено в п. 1 ч. 2 ст. 22 Закону № 152-ФЗ. Згідно з цією нормою роботодавець має право обробляти персональні дані відповідно до трудового законодавства без повідомлення Роскомнадзора.
Але в більшості випадків позиція про те, що повідомлення не потрібне, помилкова. Адже роботодавець обробляє дані не тільки працівників, а й інших суб'єктів. Наприклад, представників контрагентів при отриманні доручень або працівників інших підприємств, що входять в одну групу з роботодавцем. У таких випадках рекомендується направити повідомлення в Роскомнадзор.
За якою формою потрібно повідомити Роскомнадзор?
30 днів - термін, протягом якого Роскомнадзор внесе відомості про компанії в реєстр операторів.
Роскомнадзор внесе інформацію з повідомлення до реєстру операторів протягом 30 днів з дати отримання документа. Платити гроші за це не потрібно (ч. 4. ч. 5 ст. 22 Закону № 152-ФЗ).
Як вказати в повідомленні в Роскомнадзор найменування бази даних та її місцезнаходження?
Як скласти повідомлення на кілька інформаційних систем (баз даних)?
У паперовому повідомленні про обробку персональних даних перерахуйте відомості про кожну базу.
У компанії буває кілька (іноді кілька десятків) інформаційних систем (баз даних). Наприклад, з бухгалтерського обліку, навчання працівників, їх оцінці і т. Д. Звісно ж, що потрібно вказувати інформацію по всім таким системам.
Але покарати компанію за ненадання додаткової інформації про місце знаходження баз даних контролери не можуть - закінчився 3-місячний термін давності для притягнення до адміністративної відповідальності. Більш того, з урахуванням ч. 7 ст. 22 Закону № 152-ФЗ необхідність додаткового повідомлення є спірною. Адже відомості про оператора (роботодавця) і обробці даних залишилися колишніми. Змінилися вимоги закону.
Що робити, якщо дані з повідомлення помінялися?
Якщо відомості з повідомлення зміняться, то відправте в Роскомнадзор інформаційний лист. На це відводиться 10 робочих днів з дати змін. Форма листа наведена в додатку № 3 до Адміністративного регламенту. Раніше ці відомості роботодавець надавав у вільній формі.
Види порушень при обробці персональних даних
30 днів - термін для знищення електронного резюме після прийому на роботу або відмови кандидату.
За що найчастіше карають роботодавців?
Коли роботодавці обробляють персональні дані працівників, то допускають ряд порушень. Розглянемо основні помилки.
В рамках трудових відносин обробляти дані працівників можна без згоди. Наприклад, воно не потрібно для заповнення та зберігання трудового договору або особистої картки. Це випливає з п. 2 ч. 1 ст. 6 Закону № 152-ФЗ, п. 1 ст. 86 ТК РФ, абз. 1 Роз'яснень Роскомнадзора «Питання, що стосуються обробки персональних даних ...» (далі - Роз'яснення).
Але є винятки. Наприклад, ситуація з анкетами кандидатів. Роботодавці часто пропонують претендентам заповнити опитувальники, анкети. Щоб отримати згоду претендента на обробку персональних даних, передбачте в електронній формі спеціальне поле. На це вказав Роскомнадзор в абз. 17 п. 5 Роз'яснень.
10 робочих днів - у такий термін потрібно направити в Роскомнадзор лист про зміну відомостей про оператора.
З повагою і побажанням комфортної роботи, Тетяна Козлова,
експерт Системи Кадри
Петиція від всіх кадровиків Росії
У Трудовому кодексі є прикрі прогалини, які ускладнюють роботу кадровикам, хоча нічого не варто їх усунути.