Передача персональных данных третьим лицам без согласия куда жаловаться

Особенности передачи персональных данных работников

Семейный юрист «Гареев, Махно и Касьян» предупреждает: при передаче данных сотрудников в пределах компании или у одного ИП работодатель обязан соблюдать требования Трудового кодекса и Закона о персональных данных.5 ст. 88 ТК РФ). Передача данных в пределах одной организации – это перемещение информации между структурными подразделениями (рисунок 5)

В группу компаний, которая равнозначна передаче ПД третьим лицам не входят случаи передачи данных в группе предприятий. Во внутреннем локальном акте у каждой компании и ИП должны быть описаны процедура приема или обработки персональных сведений работников; порядок их сбора с помощью структурных подразделений (структурные подразделения) предприятия, участвующих во обработке: перечисления организаций-участников обработки и т.д.

Многие предприниматели не знают, что локальные акты о персональных данных должны быть разработаны для работников и других субъектов.

«разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать исключительно те данные работника, которые необходимы для выполнения конкретных функций»

(абз.

6 ст. 88 ТК РФ). Работодатель обязан

«передать ПД работника представителям работников в порядке, установленном настоящим кодексом […] и ограничивать эту информацию только теми сведениями о работнике, которые необходимы для выполнения указанными представителями их функций»

(абз. 8 ст. 88 ТК РФ) в каждой организации и у ИП должны быть назначены сотрудники, которые имеют право работать с личными данными коллег. Одного из них необходимо приказом руководителя назначить ответственным за обработку ПД.

В обязанности сотрудника должны входить создание локальных актов по обработке ПД и контроль за соблюдением работниками правил, прописанных там. Другие работники выполняют функции непосредственной обработки данных (например менеджер отдела кадров).

Остальные работники должны непосредственно обрабатывать ПД. Обычно это сотрудники бухгалтерии и отдела кадров, которые устанавливаются приказом или внутренним нормативным актом.

В этих документах должен быть перечень ПД сотрудников, которые могут обрабатываться каждым сотрудником. Это необходимо для обеспечения безопасности всех пользователей и защиты персональных данных от несанкционированной обработки со стороны компании или ИП.

Для физлиц штраф от 5 до 10 тыс. руб., для юрлиц –от 30 тысяч и более рублей в случае повторного нарушения — 15-50 тысяч руб.

К административной ответственности по ч. 1 ст 5.27 КоАП РФ могут привлечь юрлиц, если нарушение прав сотрудника было допущено в результате нарушения трудовых и нематериальных благ (ч.1 — 2 статьи) или должностных обязанностей с причинением морального вреда работнику.

Госинспекция труда обнаружила отсутствие локального акта, устанавливающего порядок внутренней передачи ПД работников. Также было вынесено предписание об устранении выявленных нарушений и о наказанию виновных лиц в нарушении прав на обработку персональных данных сотрудников

ИП привлечен к административной ответственности по ч.

1 ст. 5.27 КоАП РФ в виде штрафа за отсутствие локального акта, регулирующего передачу ПД работников (Решение Игринского районного суда Республики УР от 19 октября 2018 г).

Работодатель обязан

ПД работника не сообщать третьей стороне без письменного согласия работник.

(абз.

В соответствии с 2 ст. 88 ТК РФ работник обязан письменно дать свое согласие на передачу его данных третьему лицу (ст.179)info’]В согласии работника обязательно нужно указать реквизиты компании (Ф.И.О. ИП), ИНН, адрес места нахождения и номер телефона; если работник не дал согласие на передачу его данных в ПФР или ФСС, то передача сведений третьим лицам невозможна!

Но это не обязательно для всех случаев, связанных с исполнением трудовых обязанностей. Не нужно брать согласие работника и в случаях выполнения им своих должностных функций (например: при направлении его на командировку), например когда требуется купить авиабилеты или забронировать номер гостиницы.

Другой пример – работодатель передает клиенту Ф.И.О.

В остальных случаях передача ПД без согласия будет нарушением закона. Например, когда работодатель передает работнику доверенность на оформление пропуска в охранную организацию для оформления пропусков

Работодатель обязан

«не сообщать ПД работника в коммерческих целях без его письменного согласия»

(абз. 3 ч. 1 ст 88 ТК РФ не приводится ни в одном из комментариев компетентных органов о применении данного положения законаСогласно нашей практике, речь идет не столько о передаче ПД работников третьим лицам на сайт или в рекламные материалы для привлечения клиентов.

Согласие работника здесь необходимо, поскольку размещение его личной информации на сайте не связано с исполнением им своих должностных обязанностей.

В качестве примера нарушения данного положения Трудового кодекса может служить ситуация, когда коммерческие организации публикуют на своих сайтах биографии сотрудников без их согласия.

Работодатель обязан «предуведомить лиц, получающих ПД работника о том что эти данные могут быть использованы только в целях того или иного использования. Требовать от этих организаций подтверждения соблюдения этого правила (абз 4 ст.88 ТК РФ)» («Аббревиатура») содержит требование предоставить работнику информацию исключительно для целей ведения переговоров с работодателем2.

Если от работодателя поступил запрос, в которой его сотрудник работает по совместительству (в другой компании), то он должен получить согласие работника на использование полученных ПД только для целей работы. В законе не указано ни о каком порядке требования соблюдения конфиденциальности и использования полученной информации при реализации проектов или других видов деятельности;

В законе не сказано, как именно должно оформляться требование о соблюдении конфиденциальности. На практике подписывается соглашение об обработке персональных данных или работодатель получает от компании гарантийное письмо на оплату услуг IT-специалиста.

Иная ситуация, когда ПД работника передаются в целях исполнения договора. Например, при передаче данных бухгалтерам на аутсорсе от заказчика к подрядчику.

Работодатель обязан соблюдать требования ч. 3 ст 6 Закона о персональных данных, а именно3:.

1. в поручении для третьего лица установить его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке.
2. в поручении для третьего лица указать перечень возможных действий с переданными ПД, цели обработки, требования к защите обрабатываемых ПД;
3. взять письменное согласие работника на передачу его ПД третьему лицу;

Ни закон, ни разъяснения Роскомнадзора ничего не говорят о форме поручения.

На практике под поручением понимают отдельное положение, внесенное при заключении договора с третьим лицом (согласно ч. 3 ст. 6 Закона о персональных данных). Например: договор на оказание услуг может содержать такое распоряжение; например, оно содержит условие об оказании услуги и тд

Для ИП штрафы могут быть от 10 тыс. до 20 тысяч рублей, для юрлиц – 15000 руб.

Квартира будет стоить до 75 тыс. руб, если работодатель нарушит его права в результате действий работника (ч.1 ст 13.11.11 КоАП РФ).

Но, несмотря на передачу ПД работника третьему лицу работодатель несет ответственность за их обработку.

1. Региональная сеть частных медицинских клиник была оштрафована на 35 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – размещение Ф.И.О. и данных о медицинском образовании сотрудников на официальном сайте без их согласия.
2. К нам обратилась компания, которая была оштрафована на 60 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – передача ПД работников без их согласия сторонней организации, оказывающей бухгалтерские услуги. После проверки документов выяснилось, что компания получала согласие на обработку ПД от каждого работника при заключении трудового договора, считая, что этого достаточно для передачи ПД третьим лицам.

1. Работник взыскал с работодателя компенсацию морального вреда за передачу ПД при ответе на запрос адвоката (Решение Сыктывкарского городского суда Республики Коми по делу № 2-969/2019 от 14 марта 2022 г.).

2. Работодатель получил предписание от Роскомнадзора об устранении нарушений порядка передачи ПД работников третьему лицу: было неверно оформлено согласие, и в договоре с третьим лицом не указан перечень действий с ПД (постановление Арбитражного суда Московского округа по делу № А40-81171/2017 от 15 января 2018 г.).

1. Создайте локальный акт, в котором подробно должны быть расписаны процедура передачи ПД, цели и объем передаваемых данных, структурные подразделения, которые имеют право работать с ПД.
2. Приказом или локальным актом определите список лиц согласно штатному расписанию, которые вправе заниматься обработкой ПД работников.

   Документ должен содержать перечень ПД, обрабатываемых каждым работником.

3. Письменно ознакомьте каждого работника с локальными актами и приказами.

1. Подпишите с лицом, которому передаются ПД работника, соглашение о конфиденциальности или попросите его предоставить гарантийное письмо, в котором лицо должно гарантировать соблюдение конфиденциальности. Документ также должен содержать цели обработки ПД.
2. Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с требованиями ч.

   4 ст. 9 Закона о персональных данных.

1. исполнитель обязуется соблюдать конфиденциальность ПД и обеспечивать безопасность при их обработке;
2. требования к защите обрабатываемых ПД согласно ст. 19 Закона о персональных данных.
3. перечень действий (операций) с ПД, которые будут совершаться исполнителем при обработке ПД работника;
4. работодатель поручает исполнителю обработку ПД в соответствии с ч. 3 ст. 6 Закона о персональных данных;
5. исполнитель обязуется соблюдать принципы и правила обработки ПД, предусмотренные Законом о персональных данных;
6. В заключенном с третьим лицом договоре необходимо указать следующие условия:
   • работодатель поручает исполнителю обработку ПД в соответствии с ч. 3 ст. 6 Закона о персональных данных;
   • исполнитель обязуется соблюдать принципы и правила обработки ПД, предусмотренные Законом о персональных данных;
   • перечень действий (операций) с ПД, которые будут совершаться исполнителем при обработке ПД работника;
   • цели обработки ПД;
   • исполнитель обязуется соблюдать конфиденциальность ПД и обеспечивать безопасность при их обработке;
   • требования к защите обрабатываемых ПД согласно ст. 19 Закона о персональных данных.

   1 Абзац 4 п.

   4 Разъяснений Роскомнадзора от 14 декабря 2012 г.

   «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»

   .

   2 Абзац 9 п. 4 тех же разъяснений Роскомнадзора. 3 Абзац 2 п. 5 тех же разъяснений Роскомнадзора.

   За неисполнение предписания Росфинмониторинга организации назначат штраф до 1 млн руб. А за легализацию имущества, приобретенного другими лицами преступным путем, предпринимателю грозит до 7 лет лишения свободы.

   Для минимизации рисков следует ознакомиться с нормативными документами, где определены порядок проведения проверок бизнеса и критерии оценки «необычных» сделок Какие документы сотрудник при устройстве на работу обязан предоставить, а какие – нет? И как работодателю и дистанционному работнику обмениваться документами?

   Если доходы малоимущей семьи, получавшей пособие на детей до 3 лет, остаются низкими, она вправе рассчитывать на выплаты до достижения ими 7 лет. С 2021 г. размер этих выплат может составлять 50%, 75% и 100% регионального прожиточного минимума. Но при назначении пособия будут учитываться не только доходы семьи (а они обязательно должны быть), но и ее имущество С 1 марта 2021 г.

   компании и ИП обязаны соблюдать новые правила сбора и размещения персональных данных в открытом доступе. Нововведения способны ощутимо усложнить жизнь предпринимателей Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки? За ошибки при обработке персональных данных в рекламных целях организациям и ИП придется уплачивать штрафы Выбираем стратегии выполнения требований закона к обработке персональных данных и оцениваем риски их применения Своевременное принятие эффективных мер при нарушении конфиденциальности данных клиентов компании позволит снизить их отток и уменьшить размеры возмещаемого ущерба и санкций Какие потери могут понести предприниматели из-за несоблюдения требований Регламента о защите персональных данных и как этого избежать?

   © 2021 Оксана Оноприенко, редактор раздела «АГ-эксперт»

7. цели обработки ПД;
8. Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с ч.