Как получить сведения о сотрудниках и клиентах без нарушения закона о персональных данных

 

 

 

Персональные данные – это любые сведения, с помощью которых можно идентифицировать человека (п. 1 ст. 3 Федерального закона от 27.07.06 №152-ФЗ «О персональных данных», далее – Закон).

К ним относятся: фамилия, имя, отчество; дата и место рождения; адрес; семейное положение; образование и профессия; уровень доходов.

При этом не допускается получение и обработка данных о политических и религиозных убеждениях, расовой принадлежности, состоянии здоровья человека, за исключением случаев, когда он сам дает на это согласие или если сведения по его же инициативе являются общедоступными. За нарушения Закона (сбор, обработку и хранение персональных данных) оштрафовать могут как компанию – на сумму от 5 тыс. до 10 тыс. руб., так и ее Генерального Директора – в размере от 500 до 5 тыс. руб. (ст. 13.11, 13.14 КоАП РФ).

 Казалось бы, суммы небольшие, однако не стоит забывать, что в данной ситуации руководителя можно привлечь еще и к уголовной ответственности по статье 137 «Нарушение неприкосновенности частной жизни». В таком случае размер штрафа может вырасти до 300 тыс. руб. Вероятен арест на срок до шести месяцев и даже лишение свободы на срок до четырех лет.

Приведу пример.

Директор компании «Перелюб-Водопровод» опубликовал в местной газете список абонентов с указанием их места жительства и сумм задолженности за воду. Один из должников обратился в суд с требованием признать это нарушением Закона. Вопрос решала прокуратура: возбудив в отношении директора административное дело, она в итоге оштрафовала его (по данным сайта Перелюбского района Саратовской области от 20.07.2013).

 Если Вы хотите получать сведения о сотрудниках и клиентах и при этом не нарушить закон о персональных данных, придерживайтесь следующих правил.

 

 

Каждая фирма является оператором персональных данных, поскольку собирает, хранит и использует сведения о клиентах или сотрудниках. Если при этом она применяет автоматизированные системы (например, зарплатные программы или CRM), то ей обязательно нужно уведомить Роскомнадзор¹. Если же предприятие обрабатывает лишь сведения, необходимые для заключения трудовых договоров (перечислены в ТК РФ), и делает это без использования автоматизированных систем, подавать уведомление не надо. Также не нужно сообщать в Роскомнадзор и в случае, если обрабатываемые сведения о человеке общедоступны, содержат только Ф. И. О. либо если компания оформляет кому-либо одноразовый пропуск на территорию предприятия (ст. 6 Закона). Добавлю, каждая организация обязана обеспечить сохранность персональных данных от неправомерного или случайного доступа, уничтожения, блокирования, копирования, распространения (ст. 7, п. 1 ст. 19 Закона).

 ¹Сделать это можно через официальный сайт ведомства при условии использования электронной подписи: в разделе «Электронные уведомления» нужно выбрать «Уведомление о намерении осуществлять обработку персональных данных».

 

 

Для получения карты покупатель заполняет анкету. Включите в нее фразу о том, что клиент согласен на обработку его персональных данных продавцом, пусть он поставит напротив данного пункта «галочку» (важно, чтобы анкета была подписана). Если Вы планируете высылать на электронный адрес клиента рекламные сообщения, пункт лучше сформулировать так: «Согласен на обработку моих персональных данных для получения электронных или sms-уведомлений» (далее покупатель должен указать адрес электронной почты и телефон).

Аналогичную фразу нужно включить и в форму регистрации на сайте, а чтобы человек был заинтересован дать согласие, предложите выслать на его электронную почту персональную скидку или подарок. Обратите внимание, если Вы получили одобрение клиента на рассылку рекламных сообщений только через Интернет (например, с помощью «галочки»), Вашу компанию могут оштрафовать на сумму от 100 тыс. до 500 тыс. руб. за нарушение Закона «О рекламе». На практике доказать факт того, что «галочку» напротив соответствующего пункта поставил именно клиент, достаточно сложно.

 

С одной стороны, не надо получать согласие на обработку персональных данных, которые работники представляют при трудоустройстве. К ним относятся: паспортные данные, сведения из трудовой книжки, диплома и пр. (ст. 65 ТК РФ). Однако, как показывает опыт, стандартного пакета документов для работодателя может оказаться недостаточным.

Например, чтобы составить оптимальную программу мотивации, ему необходимо больше знать о состоянии здоровья сотрудников, их семейном положении, наличии детей или иждивенцев. Обрабатывать подобные сведения можно лишь с письменного согласия работников. Поэтому пообщайтесь с руководителями отделов и убедите их донести до подчиненных мысль, что подписать согласие на обработку персональных данных необходимо в интересах самих же сотрудников. Параллельно поручите юристам разработать шаблон согласия. При этом пусть отдел кадров будет гибким: если кто-либо наотрез отказывается подписывать этот документ, удалите из перечня сведения, которые его особенно задевают. Дополнительным аргументом для сотрудников (и клиентов) в пользу согласия на обработку персональных данных является тот факт, что они в любой момент могут прекратить действие такого соглашения. Хочу добавить, что письменное согласие работников или клиентов не освобождает компанию от необходимости оформлять документы, подтверждающие законность и обоснованность сбора такой информации.

 

·                     поручите юристам внести изменения в «Положение о персональных данных», включив туда перечень необходимых документов (в списке можно указать автобиографию и анкету) и указав цель их сбора;

·                     издайте приказ о назначении ответственных за обработку данных, поручите кадровикам получить подписи этих сотрудников;

·                     утвердите положение об организации доступа в помещения, где осуществляется обработка информации (помещения не могут быть проходными, должны запираться, опечатываться и т. п.);

·                     поручите кадровикам составить должностные инструкции работников, осуществляющих обработку данных, а также разграничить уровень их доступа к информации (для сотрудников call-центра нужно подготовить отдельный документ о неразглашении конфиденциальной информации, полученной от клиентов).

 

Размещение фотографий или любой информации о специалистах Вашей компании на сайте также считается разглашением персональных данных (п. 4 ст. 3 Закона). Чтобы опубликовать такие данные на законных основаниях, поручите юристам подготовить документ о согласии на их обработку, где будет указана необходимая для сбора информация, а также цель ее использования (ст. 9 Закона). Его должны подписать все те работники, чьи личные данные Вы планируете огласить. Подобную информацию можно опубликовать только с письменного согласия каждого сотрудника.

 

По Закону не нужно уведомлять Роскомнадзор об обработке сведений, которые человек сделал общедоступными. Следовательно, не запрещено обрабатывать данные из резюме, размещенного в открытом доступе. Также немало информации можно почерпнуть из соцсетей. Обратите внимание, получение адреса электронной почты из открытого доступа не является основанием для рассылки сообщений рекламного характера, поскольку клиент лично Вам согласия не давал. За нарушение данного правила компанию могут оштрафовать на 100–500 тыс. руб. (ч. 1 ст. 14.3 КоАП РФ).

 

Зачастую документ о получении согласия на обработку данных содержит фразу, что человек не возражает против передачи сведений третьим лицам. Например, кадровые агентства и соискатели подписывают договор, в котором последние подтверждают, что не возражают против передачи сведений потенциальным работодателям, иначе кандидатов просто не смогут трудоустроить. В этой ситуации Вы можете получить полные сведения о нескольких кандидатах без их дополнительного согласия.

 

Компания и ее руководитель несут ответственность не только за корректность сбора данных, но и за их хранение. Проверить законность Ваших действий могут сотрудники нескольких ведомств: Роскомнадзора, ФСБ, Федеральной службы по техническому и экспортному контролю (ФСТЭК) или Минкомсвязи. Для подстраховки можно делить персональные сведения так, чтобы по ним невозможно было определить, кому они принадлежат (п. 8 ст. 3 Закона). Такой способ подходит для подготовки аналитических отчетов.

Для обезличивания персональных данных можно воспользоваться следующими методами (приказ Роскомнадзора РФ от 05.09.2013 №996):

·                     Метод введения идентификаторов: часть сведений шифруется, определить их можно только по специальной таблице. Способ используют при страховании жизни и здоровья пациентов, участвующих в клинических исследованиях. Каждому из них присваивают буквенный или числовой код, после чего эти данные направляют в виде реестра страховой компании для оформления соответствующего полиса.

·                     Метод изменения состава (семантики): часть данных обобщается или удаляется либо заменяется данными статистической обработки. Например, количество сотрудников в декрете без уточнения их данных.

·                     Метод декомпозиции: массив персональных данных разбивается на несколько частей, которые хранятся отдельно.

·                     Метод перемешивания: перестановка отдельных записей, а также групп записей в массиве персональных данных.

 

Сфера деятельности:консалтинговые услуги, оптимизация бизнес-процессов, подбор и обучение персонала

Численность персонала: 30

Основные клиенты: компании «Валентина Фармацевтика», «Рош Диагностика Рус», «Экспоцентр», Bayer, CompuGroup Medical, Rumex Medical Group