Руководитель практик трудового и корпоративного права, и партнер фирмы Александр Карпухин дал рекомендации Журналу «Трудовые споры», касаемо изменений правил обработки персональных данных.
Это зависит от того, занимается ли организация распространением персональных данных. Если да, то изменения требуются однозначно, так как установлены новые правила, регламентирующие этот процесс. В случае, когда деятельность компании не предусматривает распространение личных данных, скорее всего, можно обойтись минимальными изменениями. Например, можно указать в положении, что оператор не осуществляет распространение персональных данных.
Обратите внимание, что теперь организация обязана обеспечивать безопасность личных сведений и определять меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных (п. 6 ч. 2 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ). Указанные меры, как правило, закрепляют во внутреннем положении о персональных данных, в модели угроз либо в иной документации (например, в проекте-описании системы защиты данных). Эти документы надо скорректировать в любом случае.
Кроме того, проверьте, чтобы политика компании в отношении обработки персональных данных соответствовала рекомендациям Роскомнадзора. Выбрать предпочтительный вариант реализации требований и методов по обезличиванию персональных данных, установленных Роскомнадзором можно с помощью их методических рекомендаций.
Вносить изменения придется, если организация ранее получала согласие на распространение персональных данных, например на публикацию личных сведений в интернете. До внесения изменений в Закон № 152-ФЗ согласие на распространение могло быть получено по умолчанию в рамках общего перечня процедур обработки. Теперь же этот вопрос необходимо исключить из общего согласия и перенести в отдельное. Оформлять такое согласие надо в соответствии с новым приказом Роскомнадзора от 24.02.2021 № 18 (далее — Приказ № 18).
Нет, не надо. В этих случаях нет распространения персональных данных, так как их получатель вполне очевиден и понятен. Получать такое согласие требуется, когда персональные данные раскрываются неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).
Предоставление персональных данных по запросу ФСС, ПФР без согласия работника не будет нарушением (разъяснения Роскомнадзора от 14.12.2012, далее — Разъяснения от 14.12.2012). Это связано с тем, что согласие работника на передачу персональных данных третьим лицам не требуется, когда это нужно для предупреждения угрозы жизни и здоровью и в других случаях, предусмотренных ТК (ст. 6 Закона № 152-ФЗ). Например, когда работодатель должен производить отчисления на обязательное соцстрахование (ст. 22 ТК).
Нет, нельзя. Согласие на распространение персональных данных в том числе должно содержать сведения об информационных ресурсах оператора, с помощью которых к ним будет предоставляться доступ неограниченному кругу лиц. Если публикация будет в Сети, отразите в том числе адрес размещения личных данных. В качестве цели обработки укажите публикацию в конкретном издании или на интернет-ресурсе.
Однозначного ответа нет. Распространение персональных данных предполагает раскрытие их неопределенному кругу лиц. Если в договоре указано, что личные данные передаются только конкретному юрлицу или контрагенту и не должны разглашаться иным лицам без согласия субъекта, то согласие на распространение не нужно. Также из Приказа № 18 следует, что понятие распространения персональных данных связано с их публикацией в СМИ и в интернет-источниках. Вместе с тем, так как данный вопрос не урегулирован законодательно, рекомендуем учитывать, что передача личных сведений третьему лицу относится к обработке персональных данных, а значит, требует согласия субъекта на такую обработку.
Для этого в организации должна существовать политика по обработке персональных данных: положение, приказ о назначении ответственного, модель угроз безопасности, согласия на обработку и распространение персональных данных. Во всех этих документах надо отображать обработку личных данных не только работников, но и контрагентов, посетителей и иных физлиц.
Обратите внимание, что согласие на обработку данных не нужно, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (ст. 6 Закона № 152-ФЗ). Согласие не требуется и для заключения договора по инициативе гражданина или договора, по которому он будет являться выгодоприобретателем или поручителем.
Брать согласие нужно, если компания выгружает с сайта по подбору персонала резюме соискателей к себе в базу. Как правило, согласие берут письменно в момент проведения первого собеседования. При этом гражданин может дать согласие на обработку персональных данных в любой форме, которая подтвердит факт его согласия (ст. 9 Закона № 152-ФЗ). Поэтому согласие можно получить и с помощью электронной формы на корпоративном сайте. Роскомнадзор указывает, что получить согласие на обработку личных данных можно путем проставления «галочки» пользователем в соответствующей веб-форме. В этом случае нужно правильно сформулировать положения ЛНА организации, касающиея порядка сбора согласий.
На практике большинство работодателей ссылаются на ст. 6 Закона № 152-ФЗ, которая указывает, что согласие на обработку не требуется, если оно необходимо для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Но это работает, только когда объем собираемых и обрабатываемых данных ограничен исключительно целями трудового договора. На это же указал в схожей ситуации и Роскомнадзор: работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе ПВТР и иными ЛНА, принятыми в порядке, установленном ст. 372 ТК (Разъяснения от 14.12.2012). Чтобы избежать больших штрафов, рекомендуем проанализировать бизнес-процессы и убедиться, что данные действительно не передаются третьим лицам и согласия работников не требуется.
Статью Вы можете прочитать здесь — https://e.tspor.ru/895283
