Цвет:
  • B
  • B
  • B
Шрифт:
  • A
  • A
  • A
  • Arial
  • Times
  • Open Sans
  • Абв
  • Абв
Полная версия

Памятка по соблюдению законодательства Российской Федерации в области персональных данных для операторов, осуществляющих деятельность по трудоустройству и подбору персонала

ПАМЯТКА ПО СОБЛЮДЕНИЮ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ ОПЕРАТОРОВ, ОСУЩЕСТВЛЯЮЩИХ ДЕЯТЕЛЬНОСТЬ ПО ТРУДОУСТРОЙСТВУ И ПОДБОРУ ПЕРСОНАЛА

 

Подбор персонала или рекрутинг – бизнес-процесс, являющийся одной из основных функций HR-менеджеров или рекрутеров.

Также подбор персонала – основная услуга, предлагаемая кадровыми агентствами и специализированными Интернет-сайтами по поиску работы с соискателями.

 

Обработка персональных данных операторами, осуществляющими деятельность по трудоустройству и подбору персонала

 

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных) обязывает всех юридических лиц соблюдать определенные требования при обработке персональных данных клиентов (соискателей).

Согласно пункту 1 статьи 3 Федерального закона о персональных данных персональными данными является любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных).

Под оператором персональных данных, согласно пункту 2 статьи 3 Федерального закона о персональных данных, понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.  Таким образом, организации, осуществляющие деятельность по трудоустройству и подбору персонала, подпадают под категорию операторов, занимающихся обработкой персональных данных.

Согласно пункту 3 статьи 3 Федерального закона о персональных данных под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии с частью 2 статьи 5 Федерального закона о персональных данных обработка персональных данных должна соответствовать определенным целям. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Выделяют несколько способов обработки:

- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники (пункт 4 статьи 3 Федерального закона о персональных данных);

- неавтоматизированная обработка персональных данных – обработка персональных данных, осуществляемая при непосредственном участии человека;

- смешанная обработка персональных данных – обработка персональных данных, осуществляемая как осуществляющими деятельность по трудоустройству и подбору персонала, так и при непосредственном участии человека.

Организации, осуществляемые деятельность по трудоустройству и подбору персонала, в рамках осуществления деятельности обрабатывают персональные данные следующих категорий субъектов персональных данных: работники; представители юридических лиц, которым оказывается услуга по подбору персонала; клиенты (соискатели), которым оказываются услуги по содействию в трудоустройстве; представители юридических лиц, с которыми заключаются договоры иные гражданско-правового характера.

 

Обработка персональных данных работников

 

Работодатель, согласно статье 22 Трудового кодекса Российской Федерации, обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности Федеральным законом "Об обязательном пенсионном страховании в Российской Федерации, Федеральным законом "Об основах обязательного социального страхования, Федеральным законом "Об обязательном медицинском страховании в Российской Федерации".

Таким образом, передача персональных данных работников в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации осуществляется без их согласия.

Согласие работника не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25.04.1997 N 490, нормативными правовыми актами в сфере транспортной безопасности).

Под исключения, связанные с отсутствием необходимости получения согласия, подпадают случаи передачи работодателем персональных данных работников в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации.

Согласие работника не требуется при передаче, в рамках установленных полномочий, на основании мотивированных запросов органов прокуратуры, безопасности, внутренних дел, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

а) договор на выпуск банковской карты заключался напрямую с работником, в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;

б) наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;

в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные частью 3 статьи 6 Федерального закона о персональных данных, в том числе, получить согласие работников на передачу их персональных данных.

В случае размещения персональных данных работников посредством их опубликования на официальном сайте Оператора необходимо учитывать, что обработка персональных данных работников при изложенных обстоятельствах не предусмотрена трудовым законодательством и осуществляется с согласия субъекта персональных данных.

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета.

Так, согласно подпункту 5 пункта 3 статьи 24 Налогового кодекса Российской Федерации установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога.

Статья 17 Федерального закона от 21 ноября 1996 г. N 129-ФЗ
"О бухгалтерском учете" определяет, что организации обязаны хранить бухгалтерскую документацию в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но при этом минимальный срок хранения не может быть менее пяти лет.

Таким образом, с учетом положений пункта 2 части 1 статьи 6 Федерального закона о персональных данных согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.

По истечении сроков, определенных законодательством Российской Федерации, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом, на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Федерального закона о персональных данных не распространяется, и соответственно, обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.

 

Обработка персональных данных представителей юридических лиц, которым оказываются услуги по подбору персонала, представителей юридических лиц, с которыми заключаются иные договоры гражданско-правового характера

 

При осуществлении своей деятельности организации, осуществляющие деятельность по трудоустройству и подбору персонала, вправе заключать договоры оказания услуг с юридическими лицами, индивидуальными предпринимателями. При заключении договора представители юридических лиц представляют персональные данные в объеме: фамилия, имя, отчество, должность; индивидуальные предприниматели в объеме: фамилия, имя, отчество, ИНН, ОГРНИП, адрес; абонентский номер телефона, в ряде случаев – реквизиты документа, удостоверяющего личность.

Обработка персональных данных представителей юридических лиц и индивидуальных предпринимателей в данных случаях осуществляется, с одной стороны на основании пункта 7 части 1 статьи 6 Федерального закона о персональных данных, с другой – на основании согласия субъекта персональных данных. При этом следует понимать, что в соответствии с частью 1 статьи 9 Федерального закона о персональных данных согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Предоставляя свои персональные данные в тексте договора, подписанного субъектом персональных данных, субъект персональных данных, таким образом, дает свое согласие на обработку его персональных данных.

 

Что такое персональные данные соискателя? Согласие соискателя на обработку персональных данных

 

К персональным данным соискателя относятся сведения о нем, необходимые для оказания услуги по содействию в трудоустройстве и иных видах занятости: фамилия, имя, отчество, дата рождения, пол, гражданство, адрес электронной почты, номер телефона, сведения об образовании. Перечень не ограничивается указанными категориями персональных данных.

Цель обработки персональных данных определяется договором между организацией, оказывающей услуги по содействию в трудоустройстве, и заказчиком услуги (соискателем).

Обработка персональных данных может осуществляться с согласия субъекта персональных данных, а также по иным основаниям, предусмотренным Федеральным законом о персональных данных.

В соответствии с частью 1 статьи 9 Федерального закона о персональных данных субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Обработка персональных данных, необходимая для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, допускается при отсутствии согласия субъекта персональных данных. На это указывает пункт 5 части 1 статьи 6 Федерального закона о персональных данных.

В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям пункта 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687.

Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, в которой согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда запрашиваются сведения, предполагающие получение согласия в письменной форме субъекта персональных данных.

 

Права и обязанности оператора персональных данных.

Какие нормативные документы должны быть приняты в организации?

 

В соответствии с частью 1 статьи 18.1 Федерального закона о персональных данных Оператор при обработке персональных данных обязан принимать меры, необходимые и достаточны для обеспечения выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными актами, в том числе необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также, от неправомерных действий в отношении персональных данных.

К правовым мерам относится разработка локальных актов организационно-распорядительного характера и построение деятельности организации в соответствии с ними. К таким локальным актам могут относиться:

- документы, определяющие политику Оператора в отношении обработки персональных данных;

- Положение об обработке и защите персональных данных соискателей;

- перечень сотрудников, имеющих доступ к персональным данным соискателей;

- приказ о назначении лица, ответственного за организацию обработки персональных данных;

- приказ об утверждении мест хранения материальных носителей персональных данных соискателей и другие.

На основании части 2 статьи 18.1 Федерального закона о персональных данных Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

При этом в соответствии с частью 5 статьи 18 Федерального закона о персональных данных при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона о персональных данных.

Согласно статье 7 Федерального закона о персональных данных Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

Технические меры по защите персональных данных в соответствии с частью 2 статьи 19 Федерального закона о персональных данных установлены приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке  в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

 

Права и обязанности субъекта персональных данных

 

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и принимаемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона,

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных;

8) информацию об осуществленной или иной предполагаемой трансграничной передачи данных;

9) фамилию, имя отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом о персональных данных и иными федеральными законами.

 

Уведомление уполномоченного органа

 

В соответствии с частью 1 статьи 22 Федерального закона о персональных данных операторы, осуществляющие деятельность по трудоустройству и подбору персонала, до начала обработки персональных данных обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Возможность для оператора осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных имеет место исключительно в тех случаях, которые предусмотрены частью 2 статьи 22 Федерального закона о персональных данных.

Время публикации: 08.10.2020 14:24
Последнее изменение: 08.10.2020 14:24