Место работы это персональные данные

Содержание

Электронная почта — это персональные данные?

Если вы следите за новостями, то наверняка, уже слышали про всеобщую панику с обновлением закона о персональных данных. Для тех, кто в танке: новые поправки в КоАП РФ обещают юридическим лицам огромные штрафы за любое нарушение в работе с данными пользователей.

Закон касается всех, кто собирает информацию о пользователях. И при этом нигде нет точного списка, что вообще можно считать за эти персональные данные (это Россия, детка). Поэтому Роскомнадзор может прийти за вами в любой момент.

Но не волнуйтесь: я здесь, чтобы успокоить вас. Сегодня расскажу, как избежать штрафов и не попасть в опалу грозного Роскомнадзора. Давайте по порядку.

Что вообще здесь происходит?

С 1 июля 2017 года вступили в силу новые условия закона о защите персональных данных. Если вы обожаете канцелярский язык, можете почитать текст закона, а можете послушать меня — расскажу все кратко.

Сам закон регулирует то, как нам нужно обращаться с данными пользователей. Роскомнадзор очень заботится о нашей личной жизни (ну хоть кто-то) и не хочет, чтобы зловредные операторы персональных данных передавали эту информацию кому не нужно или спрашивали слишком много.

Свежие поправки к закону обещают нарушителям большие неприятности. Вот вы предлагаете подписаться на блог и не спрашиваете согласие на обработку персональных данных — получайте штраф от 15 000 до 75 000 рублей. Чем больше нарушений — тем больше придется платить.

Роскомнадзор уже серьезно взялся за проверку компаний. Для тех, кто испугался, вот план проверок на сайте Роскомнадзора.

При чем тут почта и персональные данные

Персональные данные — любая информация, по которой можно идентифицировать человека. В одном из интервью глава Роскомнадзора Александр Жаров рассказал, что идентифицировать человека можно по набору информации — например, имя и электронная почта.

В то же время в тексте закона нет точного определения или хотя бы списка персональных данных (это Россия, детка), так что приходится догадываться. Что ж, давайте разбираться.

Пример номер один: вы сделали классный лид-магнит и раздаете его в блоге. Настраиваете форму подписки с двумя полями: имя и email. По таким данным (при желании, конечно) вы уже сможете идентифицировать человека. Стало быть, вы оператор персональных данных.

Пример номер два: вы решили провести перекличку в блоге и узнать старые смешные ники ваших подписчиков. Это не обработка персональных данных. Найти людей по этой информации не получится.

Это же касается комментариев в блоге. Если пользователю нужно ввести имя и почту, чтобы оставить комментарий к статье — вы собираете данные. Если достаточно указать никнейм — спите спокойно.

Что делать, Полина?!

Самый простой способ избежать кары – убрать все формы, которые запрашивают данные пользователей. В этом случае остается только надеяться, что клиенты настолько хотят с вами связаться, что позвонят сами. Естественно, ни про какие рассылки здесь уже речи и быть не может.

Но мы с вами не такие (велик шанс, что вы перешли в эту статью по ссылке из письма). Поэтому давайте разбираться.

На самом деле все не так страшно. Но кое-что сделать придется. Итак:

Шаг первый: уведомить Роскомнадзор

Тут нужно поторопиться. Если вы уже собираете персональные данные, но не предупредили Роскомнадзор — закон вы уже нарушили.

Но не нужно паниковать! Заполните уведомление на сайте Роскомнадзора сейчас, и он не оштрафует вас за прошлые года.

Затем распечатайте заполненную форму, заверьте ее и отправьте еще раз — по обычной почте. Это ведь Россия – не помню, говорила уже или нет.

Шаг второй: политика конфиденциальности

Если у вас нет политики конфиденциальности, напишите ее и выложите на сайт. Названия варьируются: это может быть и пользовательское соглашение или условия обработки персональных данных.

Главное — укажите в документе, какие данные вы собираете и зачем. Кстати, закон сильно ругается, если вы собираете лишние данные. Но я верю, что вы не спрашиваете в форме подписки адрес, номер паспорта или группу крови.

Шаг третий: разрешение пользователя

Наконец, вам нужно получить разрешение на обработку персональных данных у пользователей сайта. Сделать это просто: в каждой форме подписки разместите сообщение о том, что пользователь согласен на обработку.

Например, так: «Нажимая кнопку «Подписаться», вы подтверждаете, что ознакомились с Политикой конфиденциальности и принимаете ее условия». Не забудьте вставить ссылку на документ.

Если вам кажется, что по вашу душу уж точно не придут — напомню, что раньше проверками занималась прокуратура. Она работала медленно, и штрафы по прошлому закону еще можно было себе позволить. Но теперь за дело взялся Роскомнадзор, который работает намного быстрее.

Запомните: все сайты, интернет-магазины и даже форумы, которые имеют формы подписки или регистрации, — это операторы персональных данных. И должны обращаться с этими данными по закону.

В общем — не шутите с законом и будьте умницами.

Как изменения в законе «О персональных данных» повлияют на e-commerce и не только

2720 Просмотров 01 Сен 2017

1 июля 2017 года вступили в силу поправки в Кодекс об административных правонарушениях РФ, которые касаются сбора, хранения и обработки персональных данных. Многие об этом уже написали, но мы хотим остановиться на нескольких моментах: разобраться, что же все-таки является персональными данными, посоветовать, как интернет-магазинам избежать проблем с проверяющими органами, и поделиться собственным опытом.

Федеральный закон от 07.02.2017 N 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» вызвал нешуточный ажиотаж (и иногда даже панику) среди всех, кто так или иначе собирает и хранит персональные данные. Но первое, что хочется сразу отметить, это факт, что поправки предусматривают только смену проверяющего органа, увеличение штрафов и детализацию нарушений, в то время как сам порядок обработки и защиты персональных данных не изменился.

Т.е. если раньше у вас было все в порядке, и вы не боялись проверок, скорее всего, можете выдохнуть спокойно. А если беспокоитесь — воспользуйтесь нашим чек-листом в конце статьи.

С другой стороны, если до этого вы могли относиться к персональным данным спустя рукава из-за небольших штрафов (до 10 тыс. руб.) и долгого процесса рассмотрения дел (ими занималась исключительно прокуратура), то теперь этого делать не получится — Роскомнадзор будет разбираться гораздо быстрее, а штрафы доходят до 75 тысяч рублей для юридических лиц.

Что изменилось?

Ранее статья 13.11 КоАП РФ практически не работала сразу по трем причинам:

  • отсутствовала четкая детализация нарушения;
  • штраф для для юридических лиц составлял всего 10 000 рублей, а для физических лиц — 500 рублей;
  • протоколы об административном нарушении составляла прокуратура, у которой существуют более важные и приоритетные дела.

Сейчас ситуация кардинально изменилась и кроме детализации нарушений и резкого увеличения штрафов, возможность составления протоколов предоставили Роскомнадзору. Последний весьма активен в «прочесывании» интернета, поэтому высока вероятность, что своим правом организация воспользуется при первой же возможности. Поэтому тем компаниям (и интернет-магазинам в частности) которые являются операторами персональных данных, стоит проверить соответствие своих сайтов текущим нормам законодательства.

Сколько теперь придется заплатить за нарушения закона?

Увеличение штрафных санкций за нарушение правил обработки персональных данных становится заметным не только для небольших сайтов, но и для крупных магазинов, оперирующих большими оборотами. Сейчас в законе предусмотрены следующие штрафы для юридических лиц:

  • неправомерная обработка персональных данных (например, продажа сведений третьим лицам) – от 30 до 50 тысяч рублей;
  • обработка без письменного согласия пользования или с нарушением требований, установленных ФЗ №152, — от 15 до 75 тысяч рублей;
  • отсутствие действующей политики в области обработки персональных данных – от 15 до 30 тысяч рублей;
  • Невыполнение запросов, касающихся уточнения типов запрашиваемых персональных данных и целей их сбора, — от 20 до 40 тысяч рублей;
  • Невыполнение требования пользователя, касающегося удаления его данных, — от 25 до 45 тысяч рублей;
  • утечка данных в результате нарушений действующих правил обработки или недостаточной защиты – от 25 до 50 тысяч рублей;
  • несвоевременное выполнение предписаний со стороны государственных контролирующих органов – от 3 до 6 тысяч рублей (для должностных лиц).

Что может послужить основанием для проверки сайта

Существуют два ключевых основания: жалоба и проведение плановых проверок (если вы являетесь оператором персональных данных). По данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло практически на 60% — c 10 016 обращений до 33 814. Не забывайте о том, что никто не застрахован от жалобы со стороны конкурентов. Кроме того, количество проводимых проверок также растет: с 743 в 2013 году до 2053 в 2016.

Что считается персональными данными и кто является оператором ПД

Больше всего вопросов вызывает само понятие персональных данных. Четкого перечня нет ни в Кодексе, ни в новых поправках к нему, но в п.п. 1 п. 1 ст. 3 ФЗ «О персональных данных» № 152-ФЗ от 27.07.2006 г. установлено, что персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Несмотря на то, что многие считают персональными данными ФИО, физический адрес проживания или регистрации, адрес электронной почты, номер мобильного или стационарного телефона, дату (место) рождения, профессию, уровень образования и т.д., большинство из этих данных, по крайней мере в отдельности друг от друга, не являются персональными.

Понятие персональных данных, установленное в законе, расшифровывается в научно-практическом комментарии вышеуказанного закона под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой:

«Если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Так, к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Другие идентификаторы сами по себе не определяют однозначно конкретное физическое лицо. Такие данные должны быть отнесены к персональным данным только в том случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо».

Таким образом, если совокупности данных недостаточно, чтобы точно определить конкретного человека, эти данные не считаются персональными.

Приведем несколько примеров:

  • e-mail и имя — не являются персональными данными
  • e-mail и дата рождения — не являются персональными данными e-mail
  • e-mail, имя и телефон — не являются персональными данными
  • e-mail и Big Data (данные о поведенческих привычках пользователя) — не являются персональными данными.

Т.е. с одной стороны, владелец сайта, где имеются формы регистрации, подписки или обратной связи, собирающие перечень данных, достаточных для идентификации пользователя (например, одновременно e-mail, ФИО и дату рождения), такие данные будут считаться персональными, а владелец сайта попадает под понятие «оператор персональных данных». Однако с учетом п.2 ст.22 ФЗ «О персональных данных» не все должны направлять уведомление об обработке персональных данных в уполномоченный орган (подробнее об этом расскажем дальше).

С другой стороны, если вы собираете на своем сайте данные, которые не дают возможности четко идентифицировать пользователя (к примеру только адреса электронной почты, даже в совокупности с именем), то никаких уведомлений об обработке персональных данных направлять в уполномоченный орган не требуется. Но в любом случае лишним не будет разместить на сайте форму согласия пользователя с обработкой его ПД (чекбокс), а также Политику обработки ПД.

Также, вопреки расхожему мнению, к персональным данным не относится информация о поведении пользователя на сайте и все, что принято относить к Big Data, поскольку по этим данным невозможно идентифицировать пользователя.

Кейс Retail Rocket, или почему сервис-провайдер может не быть оператором персональных данных?

Казалось бы, платформа для мультиканальной персонализации должна также подпадать под действие закона — как можно давать пользователям персональные рекомендации, не используя персональные данные?

Но Retail Rocket получает с сайта интернет-магазина обезличенную информацию, по которой невозможно идентифицировать конкретное физическое лицо.

Схема взаимодействия между Retail Rocket и интернет-магазинами выглядит так:

  • Пользователь предоставляет информацию о себе для исполнения заказа на сайте интернет-магазина
  • Информация сохраняется на сервере интернет-магазина
  • Размещенный на интернет-магазина трекинг-код формирует поведенческую статистику пользователя
  • Методом выборки информации с сайта интернет-магазина у исполнителя на основании статистики поведения пользователя формируется база товарных рекомендаций
  • Статистика поведения пользователя сохраняется на сервере исполнителя и содержит обезличенную информацию о пользователе и иных идентификаторах

Таким образом, для формирования товарных рекомендаций платформа не использует никаких персональных данных.

Что же касается платформы массовых рассылок, то как мы уже выяснили выше, адрес электронной почты, имя или дата рождения без других точных данных, позволяющих идентифицировать пользователя, не являются персональными данными.

По этому поводу у нас есть кейс-история. Наш юрист оставила свой адрес электронной почты на сайте одного из интернет-магазинов и этот адрес был передан третьим лицам, чья компания зарегистрирована за пределами Российской Федерации и соответственно данные хранит тоже за пределами страны, что должно считаться нарушением ФЗ-152 «О персональных данных».

По этому прецеденту была составлена жалоба в Роскомнадзор с изложением всех фактов и просьбой о внеплановой проверке этого интернет-магазина:

Согласно ответу Роспотребнадзора «адрес электронной почты является персональными данными при условии наличия дополнительной информации, позволяющей отнести его к конкретному физическому лицу (субъекту персональных данных)»:

Полный документ в PDF

Таким образом платформа Retail Rocket не является оператором персональных данных, вся информация хранится только на серверах самого интернет-магазина, а значит работа с сервисом не требует от клиентов никакого дополнительного согласия на обработку, помимо того, которое пользователь дает интернет-магазину.

Обработка персональных данных третьей стороной

Отдельно нужно отметить, что согласно ч.3 ст.6 ФЗ-152 «Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона».

При этом в соответствии ч.4 ст.6 ФЗ-152 «Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных».

Таким образом, если оператор ПД, например, интернет-магазин, поручает третьему лицу, например, сервис-провайдеру, обработку персональных данных в целях, обозначенных в политике конфиденциальности (в нашем случае это e-mail рассылки и формирование товарных рекомендаций), сервис-провайдер не должен получать от пользователей дополнительное согласие.

Ответственность перед субъектом персональных данных при этом несет оператор ПД (интернет-магазин), а сервис-провайдер или иное третье лицо отвечает перед оператором.

Кроме того, еще акцентируем внимание на том, что если вы собираете данные, не достаточные для идентификации пользователя, вы не являетесь оператором ПД и не попадаете под действие закона. Расскажем на своем примере.

Что делать, если вы все-таки являетесь оператором персональных данных

Для соблюдения требований закона соблюдайте следующие правила:

  1. Получите согласие пользователя на обработку его персональных данных.

Для этого разместите в виде отдельного документа пользовательское соглашение. В качестве основы можно взять аналоги на других сайтах, но обязательно перед размещением прочитайте и подкорректируйте их в соответствии с особенностями вашего ресурса. Закон явно запрещает сбор лишней информации, поэтому в соглашении и по факту у пользователя, например, для рассылки электронной почты не должен запрашиваться адрес его проживания.

Согласие пользователя должно фиксироваться и храниться в виде log-файла вне зависимости от способа подтверждения (галочка, код из SMS). Также обязательно подписание подобного документа до момента получения от пользователя персональных данных.

В качестве хороших примеров документов приведем следующие сайты:

  • политика конфиденциальности как у интернет-магазина Ozon или re-store;
  • официальное уведомление, как на сайте М-видео;
  • правила продажи, например, как у Читай-города;
  • пользовательское соглашение, как на сайте интернет-магазина Lamoda.

Вне зависимости от конкретного выбора примера итоговый вариант документа должен включать следующую информацию:

  • информацию об операторе персональных данных;
  • четкое указание целей сбора персональных данных;
  • перечень данных, которые будут собираться;
  • список действий, которые могут быть совершены с этими данными;
  • способ отзыва согласия пользователя на хранение данных;
  • срок хранения персональных данных;
  • контактные данные для запроса информации пользователем о своих персональных данных.
  1. Используйте информацию только для оговоренных целей.

Если вы предлагаете зарегистрированному пользователю дополнительные сервисы или услуги, требующие использования персональных данных, то необходимо повторное получение согласие по примеру предыдущего пункта. Если цель, для которой собирались сведения, была достигнута, то они должны быть уничтожены автоматически при условии, что в соглашении не оговорено иное.

  1. Разместите на сайте «Политику обработки персональных данных».

Она должна находиться в открытом доступе и на видном для пользователя месте, описывать все принципы обработки данных пользователей.

  1. Направьте уведомление об обработке в Роскомнадзор.

Сделать это можно в электронном или бумажном виде. В документе должна быть указана следующая информация:

  • наименование оператора персональных данных;
  • цель сбора и обработки информации;
  • перечень видов собираемых данных;
  • список субъектов, данные которых обрабатываются;
  • основание обработки информации;
  • список действий с полученной информацией;
  • наличие и описание видов мер, направленных на защиту собираемой информации;
  • ФИО и контактные данные лица, отвечающего за обработку персональных данных;
  • дата начала обработки;
  • информация о местонахождении базы, где содержатся данные;
  • подтверждение соответствия нормативам требований обеспечения безопасности персональных данных.

Если не интернет-магазин осуществляет сбор ПД исключительно с целью надлежащего исполнения обязательтв перед пользователе/покупателем, он вправе не направлять в адрес Роскомнадзора уведомление о своем намерении обрабатывать ПД.

Согласно под. 2 п. 2 ст. 22 ФЗ «О персональных данных» Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

Таким образом, если интернет-магазин обрабатывает персональные данные исключительно с целью надлежащего исполнения обязательств по размещенному на сайте договору оферты, к примеру, для исполнения обязательств по доставке товара покупателю, регистрация в Роскомнадзоре не требуется.

  1. Отвечать на официальные запросы от пользователей или государственных органов.

После получения подобного запроса необходимо направить официальный ответ в течение 30 дней. Обратите внимание, что подобный документ может рассматриваться в качестве письменного доказательства при разбирательстве, поэтому отвечать необходимо по существу.

  1. Удалять или изменять персональные данные по запросу.

На это владельцу сайта отводится 7 дней, по истечении которых в базе не должно о нем остаться никаких сведений.

Выполнение требований избавит вас от риска получить штраф за неправильное обращение с персональными данными. Соблюдение подобных пунктов требует, по большому счету, только затрат на первоначальном этапе, а вложенные инвестиции обернутся сторицей в виде спокойствия. Что касается обращений со стороны Роскомнадзора и отдельных пользователей, то их количество будет небольшим, поэтому ответы на них не отнимут много времени.

Советы в заключение

Если вы поняли, что являетесь оператором ПД, прежде всего проверьте Политику конфиденциальности (или срочно создайте, если по каким-то причинам у вас ее не было), чтобы она соответствовала всем требованиям закона о персональных данных.

Добавьте чек-бокс, в котором пользователь будет соглашаться на обработку персональных данных. Он должен быть в каждой форме на сайте и иметь содержание вида «Нажимая кнопку “Зарегистрироваться”, я принимаю условия Пользовательского соглашения и даю свое согласие на обработку персональных данных в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ “О персональных данных” на условиях и для целей, определенных Политикой конфиденциальности.» со ссылкой на саму Политику конфиденциальности.

Сохраняйте доказательства получения согласия. Чтобы доказать законность сбора, хранения и обработки данных Роспотребнадзору, вам понадобятся свидетельства согласия от пользователей. Это может быть емейл, IP-адрес, с которого совершена подписка, дата подписки, sms-код и т.д.

А если вы поняли, что по собираемыми вами данным нельзя идентифицировать конкретного человека, можете выдохнуть спокойно и не реагировать на панику вокруг.

Технологии персонализации сайта и персонализированных триггерных email-рассылок теперь доступны каждому!

Получите демо-доступ к системе

Защита персональных данных: какие сведения не вправе разглашать бухгалтер

электронный журнал «Зарплата»

Источник: Главбух

Персональные данные

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).

Круг сведений о заработной плате

Понятие «заработная плата» включает в себя не только должностной оклад или тарифную ставку работника, но и положенные ему выплаты компенсационного и стимулирующего характера (надбавки, доплаты, премии) (ч. 1 ст. 129 Трудового кодекса РФ).

Доступ к персональным данным

Персональные данные относятся к информации, доступ к которой ограничен (ст. 2, 3, 5 и 6 Закона № 152-ФЗ).

В каких случаях персональные данные можно сообщить третьему лицу

Персональные данные предоставляют третьим лицам, когда необходимо предотвратить угрозу жизни и здоровью работника и в других ситуациях, установленных Трудовым кодексом или иными федеральными законами (ст. 88 ТК РФ, ст. 7 Закона № 152- ФЗ).

В каких случаях персональные данные нельзя передать третьему лицу

В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.

Так, нельзя передавать данные о работнике, если:

— с запросом обратился человек или организация, не уполномоченные федеральным законом на получение таких сведений. Например, запросивший персональные данные не является государственным инспектором труда, прокурором, сотрудником правоохранительных органов или органов безопасности и т. п.;

— нет письменного согласия работника на предоставление сведений о нем лицу, обратившемуся с запросом. Если сотрудник не дал согласие на передачу персональных сведений никому из родственников, работодатель или его представитель не вправе передавать персональные данные работника его жене.

Требование супруги предоставить ей сведения о зарплате мужа также не является основанием для предоставления персональных сведений без согласия работника. Что подтверждают и специалисты Роскомнадзора в письме от 07.02.2014 № 08КМ-3681.

Защита персональных данных и ответственность за их разглашение

В законодательстве установлены различные виды ответственности за разглашение персональных данных. Работники бухгалтерии в силу своих должностных обязанностей имеют доступ к персональным данным работников компании (в частности, к сведениям об их заработной плате).

Дисциплинарная ответственность

Если персональные данные работника не сохранил в секрете бухгалтер компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).

Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:

— сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;

— они стали известны работнику в связи с исполнением им трудовых обязанностей;

— уволенный работник дал обязательство не разглашать такие сведения.

Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.

Административная ответственность

За разглашение информации о персональных данных работников на виновника может быть наложен административный штраф в размере, предусмотренном статьей 13.14 КоАП РФ, а именно от 4000 до 5000 руб.

Как корректно отказать в предоставлении сведений

В компании должен быть разработан и утвержден локальный нормативный акт, в котором регламентируется порядок обработки, хранения, использования и защиты персональных данных работников, — положение о персональных данных работников (ст. 8, п. 7 и 8 ст. 86, ст. 87 и 88 ТК РФ).

В нем, в частности, необходимо прописать порядок передачи персональных данных работников третьим лицам.

Запрос в письменной форме

В положении о персональных данных работников целесообразно установить, что компания рассматривает только письменные запросы о предоставлении персональных данных, поскольку при устном обращении сложно идентифицировать лицо, которое обращается с запросом о предоставлении персональных данных работника. Образец запроса смотрите ниже.

Письменное согласие работника

В отдельном пункте положения о персональных данных работников следует указать, что информация может быть предоставлена родственникам или членам семьи только с письменного согласия самого работника (за исключением случаев, предусмотренных законодательством).

Обратите внимание: работник сам вправе определить, какому лицу (организации) он готов предоставить свои персональные данные. Необязательно, что в перечень этих лиц попадет супруга работника. Образец письменного согласия работника на предоставление его персональных данных смотрите ниже.

Уведомление об отказе

В положении о персональных данных также стоит описать порядок действий уполномоченных представителей компании, если в силу нормы закона на запрос не может быть дан положительный ответ. В этом случае обратившемуся лицу бухгалтер выдает письменное уведомление об отказе в предоставлении персональных данных работника.

В уведомлении можно будет сослаться на статью 88 Трудового кодекса и соответствующий пункт внутреннего положения о персональных данных работников. Образец уведомления смотрите ниже.

Место работы это персональные данные

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *