При устройстве на работу человек кроме договора подписывает согласие на обработку персональных данных. Это стандартная процедура, которая обычно не вызывает вопросов. Но работник должен знать, что работодатель может нарушить законодательство, и личная информация может оказаться у сторонних лиц. На что руководство имеет право, а на что нет в отношении персональных данных своих сотрудников — читайте далее.
Что входит в персональные данные
Это информация о работнике, необходимая руководителю в рамках трудовых отношений.
· Общая (фамилия, имя, отчество, пол, дата и место рождения, адрес и тд).
· Специальная (раса, национальность, политические и религиозные убеждения, здоровье, личная жизнь, сведения о судимости).
· Биометрическая (фотоснимки, отпечатки пальцев, группа крови).
· Другая — паспортные данные, реквизиты и т.д.
Необходимость согласия на обработку персональных данных
По закону № 152-ФЗ согласие необходимо в большинстве случаев. Документ оформляют в письменном виде как отдельный или как часть трудового договора.
Также бывают ситуации, когда работодатель может обойтись без согласия на обработку персональных данных:
1. Заключение трудового договора (закон 152-ФЗ). В документ вносят паспортные данные, номер карты для перевода зарплаты. Согласие нужно, если передается информация в банк, чтобы там открыли зарплатную карту.
2. Передача данных работника в налоговую и трудовую инспекцию, социальный фонд, службу судебных приставов, военный комиссариат.
3. Обработка сведений о здоровье работника, если это может повлиять на выполнение работы.
4. Если данные нужны согласно требованиям коллективного договора или прочих локальных правовых документов фирмы.
5. Обработка данных близких родственников сотрудника, чтобы заполнить карточку Т-2, оформить социальные выплаты, алиментные платежи.
На что работодатель не имеет права
Существует перечень требований, который руководитель должен выполнять при работе с персональными данными.
Основные из них:
· не разглашать персональные данные посторонним лицам, если работник не согласился на это в письменном виде.
· Не сообщать их в коммерческих целях также без его письменного согласия третьим лицам.
· Не запрашивать информацию о медицинских нюансах, если эти данные не влияют на выполнение трудовых задач.
· Не получать и обрабатывать данные работника о его членстве в общественных организациях.
Если персональные данные оказались у посторонних, работодатель обязан проинформировать Роскомнадзор в течение 24 часов и провести внутреннее расследование, результаты которого сообщить ведомству в течение 72 часов.
Самые распространенные нарушения работодателей
Ответственность за нарушения закреплена в статье 90 ТК РФ. Сотрудник имеет право подать иск в суд на компанию, которая незаконно использовала его персональные данные.
Семь основных видов нарушений со стороны работодателя
1. Неполучение согласия работника на обработку данных, когда это обязательно. За нарушение компания может получить штраф в размере до 150 000 руб., а сам руководитель до 40 000.
2. Обработка данных в непредусмотренных законом случаях. Штраф составит до 100 000 рублей организации и до 20 000 руководителю.
3. Получение данных для одной цели, а использование для другой. Штраф аналогичен второму пункту.
4. Непредоставление политики обработки персональных данных в свободном доступе. Штраф – до 60 000 рублей компании, до 12 000 руководителю.
5. Отсутствие своевременного ответа на запрос работника о его персональных данных. Работодатель обязан ознакомить работника с персональными данными в день обращения или в течение 30 дней с момента получения запроса от сотрудника. Штраф за нарушение – до 80 000 рулей организации, и до 12 000 тыс. рублей начальнику.
6. Отказ ликвидировать персональные данные по требованию работника. Сотрудник имеет право письменно требовать исправить, заблокировать или уничтожить персональные данные. За отказ организация может получить до 90 000 рублей штрафа, а руководитель до 20 000.
7. Хранение персональных сведений в иностранных базах данных. Штраф может достигать 6 млн рублей. Понести наказание могут не только руководители, но даже айтишники и кадровики. Если они по телефону ли через интернет рассказали кому-либо о сотруднике либо допустили утечку данных. За такие нарушения возможны штрафы до 300 000 рублей, лишение права заниматься определенной деятельностью и даже ответственность согласно Уголовному кодексу.
Отметим, что сотрудник в любое время может написать заявление и отозвать свои персональные данные.
Передача персональных данных третьим лицам
Без согласия человека это недопустимо. Но бывают случаи, когда согласие работника не требуется:
· при передаче данных в Социальный фонд России;
· в банки обслуживания зарплатных проектов компании.
Какие персональные данные нельзя разглашать
К таким сведениям относятся:
· наличие / отсутствие судимости;
· информация о кредитах;
· сведения о родственниках;
· место жительства и\или регистрации человека;
· переписка в любом ее виде;
· состояние здоровья;
· образ жизни и прочие биографические сведения.
По законодательству получение всех вышеперечисленных данных допустимо исключительно с согласия самого сотрудника.
Видеонаблюдение в организации
Многих интересует вопрос – законно ли видеонаблюдение на территории организации и нужно ли давать на это свое согласие. Согласно статье 22 ТК РФ для монтажа видеокамер на предприятии работодателю необходимо издать соответствующий локальный нормативный акт и ознакомить с ним сотрудников.
Жалоба на нарушения со стороны работодателя в отношении персональных данных
Работник может обратиться:
· в Роскомнадзор;
· в суд (но это более долгий способ). Тем не менее, в судебной практике встречаются случаи, когда работнику удавалось возместить даже моральный вред за нарушение, касающееся его персональных данных.