К персональным данным лица относится любая информация о нем, например, его Ф.И.О., сведения о его заболеваниях, о прежних местах работы и тому подобное. Даже фотоснимки, видеозапись, на которых изображен человек, является его конфиденциальной информацией.
Персональные данные – одна из актуальных тем для многих руководителей организаций. Как работать с персональными данными сотрудников ДОУ, воспитанников и их родителей? Есть ли необходимость работать в рамках закона о персональных данных при осуществлении госзакупок?
При приеме на работу сотрудников, заключении договоров с родителями воспитанников, осуществлении государственных закупок у дошкольной организации возникает потребность осуществлять различные операции с персональными данными. Нормами закона выделен достаточно большой перечень возможных действий с личными данными. Отметим лишь часть из них:
сбор;
запись;
хранение;
уточнение;
распространение;
систематизация.
В целом все эти действия можно назвать обработкой персональных данных. При этом не важно, используется ли в организации система автоматизации для обработки указанной информации или нет, работа с ней в любом случае будет подпадать под действие ФЗ от 27.07.2006 № 152 «О персональных данных».
Особенности обработки персональных данных работников
При оформлении трудовых отношений с сотрудниками работодатель вынужден работать с их персональными данными. Так, согласно ст. 60 ТК РФ, работодатель должен при приеме сотрудника обрабатывать его личные данные, содержащиеся в следующих документах:
паспорте;
трудовой книжке;
пенсионном свидетельстве;
дипломе об образовании (или другом документе, подтверждающем наличие необходимого образования);
других документах (при необходимости).
Работодатель имеет право получать персональные данные о работнике только лично от него. Если по тем или иным причинам необходимая информация не может быть получена непосредственно от сотрудника, а необходимо прибегать к помощи третьей стороны, то сделать это возможно с согласия работника.
В этой ситуации необходимо заранее письменно уведомить сотрудника о получении его персональных данных у третьей стороны и запросить его письменное согласие на это. В данном уведомлении должна содержаться следующая информация:
цели, источники и способы получения информации о сотруднике;
характер персональных данных;
последствия для работника в случае его отказа от дачи согласия.
Форма уведомления о запросе персональных данных у третьей стороны, а также письменного согласия сотрудника на такой запрос законом не установлена. Поэтому указанные документы можно составлять в свободной форме.
На работодателя возложена обязанность ознакомить каждого принимаемого на работу сотрудника с внутренними документами, в которых установлен порядок обработки персональных данных сотрудников, а также права и обязанности работников в этой области.
Важно, чтобы у работодателя осталось подтверждение факта ознакомления работников с данными документами. Например, можно просить сотрудника расписаться в журнале ознакомления с локальными актами организации, где будет указано, с каким конкретно документом ознакомлен сотрудник, дата ознакомления, его ФИО и должность.
Нужно ли получать согласие сотрудника на обработку его персональных данных?
По общему правилу любая работа с конфиденциальной информацией требует получения согласия её владельца. Но законодательство о персональных данных содержит и исключения, которые позволяют обрабатывать указанные данные без согласия сотрудника.
Относительно персональной информации работников можно выделить следующие ситуации, когда можно обойтись без согласия. Не нужно запрашивать согласия, если обработка персональных данных связана:
- с осуществлением сотрудником трудовой деятельности в рамках трудового договора;
- с обязанностью в силу закона размещать персональные данные своих сотрудников в сети Интернет. Согласно законодательству об образовании на официальном сайте образовательного учреждения должны быть отражены персональные данные учредителя организации, руководителя, педагогов. В этой ситуации нет необходимости требовать согласия на размещение в сети Интернет персональных данных, которые указаны в нормативных актах, в рамках исполнения указанной обязанности;
- с заполнением личной карточки работника в отношении информации об их близких родственниках и строго в том объеме, который предусмотрен унифицированной формой такого документа. Также можно обрабатывать персональные данные родственников без их согласия, если это требуется для получения алиментов или социальных пособий;
- с получением информации, относящейся к специальной категории персональных данных, в рамках трудового законодательства. Например, необходимо получить информацию о состоянии здоровья сотрудника в целях выявления возможности выполнения им своих трудовых функций;
- с передачей информации о сотрудниках третьим лицам в целях предупреждения угрозы жизни и здоровья, например, когда происходит несчастный случай в организации;
- с передачей личных данных третьим лицам для исполнения обязанностей в соответствии с трудовым законодательством или другими законами. Например, не требуется согласия сотрудника при обращении в ФСС РР, в ПФР РФ, в органы воинского учета и тому подобное;
- для осуществления пропускного режима, если такой режим осуществляется организацией самостоятельно либо предусмотрен в локальных нормативных актах;
- с передачей данных банку, который обслуживает зарплатные карты сотрудников. В этой ситуации важно наличие одного из следующих условий: договор на выпуск карты заключен с работником и в нем указано положение о передаче данных работодателем; у работодателя имеется доверенность от работника на оформление карты; коллективный договор содержит условие о подобной форме и системе оплаты труда.
Однако если речь идет о замещении вакантной должности, то обработка персональных данных соискателя должна осуществляться только с их согласия.
Указанные выше выводы сделаны на основе норм законодательства о персональных данных и Разъяснений Роскомнадзора от 14 декабря 2012 года.
Как составить согласие на обработку персональных данных?
Законом не установлена форма подобного документа, но в ч. 4 ст. 9 ФЗ о персональных данных отражена обязательная информация, которая должна там содержаться:
- ФИО и реквизиты паспорта субъекта персональных данных (или представителя с указанием реквизитов доверенности или другого документа, подтверждающего полномочия);
- название и адрес организации, которая занимается обработкой конфиденциальной информации;
- цель обработки персональных данных (например, заказ именных подарков сотрудникам компании);
- перечень личных данных, которые предстоит обрабатывать;
- название и адрес компании, которая будет непосредственно обрабатывать персональные данные, если эта работа передается третьему лицу (например, магазин фототехники при заказе именных подарков сотрудникам);
- перечень действий, которые могут быть совершены с персональными данными;
- срок действия согласия и порядок его отзыва;
- подпись субъекта персональных данных (например, сотрудника организации).
Что делать, если сотрудник не дает согласия на обработку персональных данных?
Как мы видим, в большинстве случаев, связанных с трудовыми отношениями и исполнением своих обязанностей, работодателю не требуется получать согласие сотрудника на обработку персональных данных. Тем не менее, в процессе взаимодействия работника и работодателя нередко возникают ситуации, когда требуется получить письменное согласие. Как же быть руководителю ДОУ, если работник отказался предоставить такое согласие? В этой ситуации работник имеет полное право отказать в даче такого согласия. В случае, когда сотрудник отказывается дать согласие на обработку своей личной информации, работодатель не имеет права обрабатывать её, например, передавать третьим лицам.
Отказ от дачи согласия не является нарушением трудовой дисциплины, и работник не может быть привлечен за это к ответственности.
Работа с персональными данными воспитанников и их родителей
Обработка личной информации воспитанников и их родителей во многом схожа с таковой в отношении сотрудников. Случаи, когда не требуется получения согласия от родителей на работу с личными данными их самих и их детей, аналогичны указанным выше для работников организации.
Так, например, не нужно требовать от родителей согласие на обработку их данных, которые были получены при заключении договора по присмотру и уходу за ребенком, и используется ДОУ для исполнения данного договора.
Кроме того, не нужно согласия родителей на обработку информации о воспитанниках, которая была получена при поступлении в ДОУ согласно нормам приказа Минобрнауки РФ о порядке приема в дошкольную организацию (от 08.04.2014 N 293):
Ф.И.О. ребенка;
дата и место его рождения;
адрес места жительства.
Также в рамках указанного нормативного акта ДОУ вынуждено обрабатывать персональную информацию ребенка, содержащуюся в свидетельстве о его рождении, в медицинских документах.
Тем не менее, существуют ситуации, когда для обработки персональных данных воспитанников, их родителей и иных лиц необходимо получать согласие. Приведем некоторые примеры:
- размещение фотографий и видеофайлов на сайте ДОУ с изображением детей;
- передача третьим лицам фотографий детей для подготовки фотоальбома;
- получение доверенностей, паспортных данных близких родственников или других лиц в целях передачи ребенка указанным лицам после завершения рабочего дня, когда сами родители не могут забрать ребенка. В этой ситуации необходимо получать согласие указанных лиц на обработку их персональных данных.
В согласие родителей (представителей ребенка) также необходимо включать сведения, которые были указаны для согласия сотрудников организации.
Государственные закупки и персональные данные
Минэкономразвития РФ в своем письме от 08.04.2015 года № Д28и-980 выразило позицию, согласно которой не нужно получать согласие на обработку персональных данных, полученных в рамках 44-ФЗ. Так, например, при заключении контракта с индивидуальным предпринимателем, в реестр контрактов необходимо включить следующие персональные данные лица: ФИО, место жительства. Такая обязанность предусмотрена п. 7 ч.2 ст. 103 закона о госзакупках. А согласно закону о персональных данных обработка информации о лице допускается без его согласия, если она осуществляется в случаях, предусмотренных федеральным законам. К ним и относится закон о госзакупках.
На мой взгляд, это правильно, что берут согласие родителей на обработку персональных данных детей, по крайней мере, мы знаем, где и когда может появится информация про наших детей.
Согласие на обработку персональных данных, фактически, дает образовательному учреждению право собирать все и любые сведения о ребенке и его семье, без каких-либо ограничений.
Детский сад, школа и вышестоящие образовательные инстанции могут злоупотребить своим правом неограниченно собирать и обрабатывать данные на Вас и Ваших детей.