26 февраля, пятница 03:53
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Согласие на обработку ПДн с собственных сотрудников.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Согласие на обработку ПДн с собственных сотрудников.

    Всем доброго дня!
    Как говорится, чем дальше в лес, тем больше... нужно согласий.
    Хотелось бы обсудить следующий вопрос - сбор согласий с собственных сотрудников.
    Первое с чем мы столкнулись после разговора с сотрудниками местного Роскомнадзора - это то, что необходимо собирать согласия с сотрудников организации на передачу их ПДн в банк при переводе средств на кардсчет. Основания для сбора согласий - данные передаются 3му лицу, субъект ПДн не является одной из сторон договора - значит согласие необходимо.
    Второе - это предварительные и периодические медицинские осмотры.
    В заключениях по результатам данных осмотров содержатся диагнозы врачей медицинской комиссии. Таким образом, эти данные можно отнести к сведениям о состоянии здоровья, которые относятся к специальным ПДн, для обработки которых необходимо согласие субъекта ПДн. Медицинские осмотры проводятся для всех сотрудников принимаемых на работу. Периодические осмотры проводятся, по сути тоже для всех сотрудников, только с разной периодичностью. Для сотрудников задействованных на вредных производствах чаще, для остальных, в том числе, для тех кто работает в офисе - раз в три года.
    Для тех кто работает с ПЭВМ, медицинские осмотры проводятся в соответствии с законодательством Российской федерации об охране здоровья граждан. ст.21, т.к. Работы с персональными ПЭВМ попадают в перечень вредных и опасных производственных факторов, при выполнении которых проводятся предварительные и периодические медицинские осмотры.
    Думаю будет еще и в третьих и в четвертых, т.к. на сотрудников оформляется мед. страховка (данные передаются в страховую компанию), сотрудники ездиют на обучение, конференции и прочие мероприятия.
    А как вы справляетесь с данной проблемой?!

  • #2
    1. Передача в банк

    Здесь 2 варианта:
    1.1. Сотрудник сам оформляет зарплатную карту и представляет реквизиты счета для начисления. В этом случае передача происходит в рамках ТК (обязанность работодателя выплачивать ЗП)
    1.2. Оформление карточных счетов работодателем.
    В этом случае согласие не требуется, но потребуется доверенность на представление интересов работника по цели оформления зарплатных карт. Далее опять передача по ТК.

    Вообще в этом случае РКН не прав т.к. работник является стороной договора на оформление карточного счета.

    Ну и опять про 3-е лицо
    По ГК РФ третье лицо не несет обязанностей по обязательствам сторон. А банк, ведущий карточный счет, как минимум, обязан соблюдать конфиенциальность ПДн перед работником (стороной обязательства) и тайну вклада - соответственно, не может быть признан третьим лицом

    2. Медосмотры и медкомиссии

    По ТК РФ и САНПИН работодатель обязан их проводить. Соответственно работодатель не определяет цели и состав обрабатываемых ПДн и не является оператором по данной цели - оператор Роспотребнадзор. Вот пусть РКН и разбиратеся с Роспотребнадзором о необходимости согласий

    3. Мед страховка

    3.1. ОМС - здесь трехсторонний договор (согласно НПА по ОМС), где страховая, работодатель и работник являются сторонами договора. Соответственно согласие не требуется т.к. обработка по договору и по закону

    3.2. ДМС - здесь работодатель выступает представителем действующим в интересах работника. Соответственно желательно не согласие, а довернность на представление интересов.

    4. Передача в ФНС, ПФР, ФСС, военкоматы, Росстат и т.д. - опять поднимаем соответствующие НПА и видим, что работодатель не является опреатором по данным целям.

    Комментарий


    • #3
      Сообщение от Toparenko Посмотреть сообщение
      1. Передача в банк

      Здесь 2 варианта:
      1.1. Сотрудник сам оформляет зарплатную карту и представляет реквизиты счета для начисления. В этом случае передача происходит в рамках ТК (обязанность работодателя выплачивать ЗП)
      1.2. Оформление карточных счетов работодателем.
      В этом случае согласие не требуется, но потребуется доверенность на представление интересов работника по цели оформления зарплатных карт. Далее опять передача по ТК.

      Вообще в этом случае РКН не прав т.к. работник является стороной договора на оформление карточного счета.

      Ну и опять про 3-е лицо
      По ГК РФ третье лицо не несет обязанностей по обязательствам сторон. А банк, ведущий карточный счет, как минимум, обязан соблюдать конфиенциальность ПДн перед работником (стороной обязательства) и тайну вклада - соответственно, не может быть признан третьим лицом

      2. Медосмотры и медкомиссии

      По ТК РФ и САНПИН работодатель обязан их проводить. Соответственно работодатель не определяет цели и состав обрабатываемых ПДн и не является оператором по данной цели - оператор Роспотребнадзор. Вот пусть РКН и разбиратеся с Роспотребнадзором о необходимости согласий
      Спасибо, Александр, за столь полный ответ.
      Но вопросы тем не менее остались.
      1. По заработной плате. Интересен первый вариант. Сотрудник сам заключает договор с банком на открытие счета.
      Но между работодателем и банком заключен договор на перечисление заработной платы сотрудников на кардсчета. Издержки по открытию счета, перевыпуску карты, перечислению средств - несет работодатель. Работодателем же передаются списки сотрудников которым перечисляется заработная плата, с номерами счетов, ФИО, паспортными данными.
      Сотрудник же только пишет заявление в котором просит работодателя перечислять заработную плату на счет в банке, а счет оформить за счет работодателя.
      Здесь же приведу решение суда, по схожему случаю:
      ЗАО «СевКавТИСИЗ» зарегистрировано в качестве юридического лица за основным государственным регистрационным номером 1022301190581.

      На основании приказа Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Краснодарскому краю от 22.03.2010 № 303 проведена проверка ЗАО «СевКавТИСИЗ».

      В ходе проверки заинтересованным лицом были выявлены следующие нарушения обязательных требований:

      1. ЗАО «СевКавТИСИЗ» было представлено в Управление Роскомнадзора по Краснодарскому краю уведомление об обработке персональных данных, содержащее неполные сведения, а именно: отсутствует специальная категория персональных данных - стояние здоровья, обработка (сбор и хранение) которой осуществляется ЗАО СевКавТИСИЗ» (в справке предварительного медицинского осмотра Быковченко Р.А., выданной МУЗ Городская поликлиника № 5), что является нарушением ч.3 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

      2. ЗАО «СевКавТИСИЗ» осуществляет передачу персональных данных работников без письменного согласия работников, что является нарушением ч.1 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно:

      - в соответствии с п. 2 Приложения № 1 договора об оказании услуг по организации
      расчетов от 02.04.2009 № ZD 09-04-07, заключенного между ЗАО «СевКавТИСИЗ» и
      ОАО АКБ «УРАЛСИБ-ЮГ БАНК», ЗАО «СевКавТИСИЗ» предоставляет в ОАО АКБ «УРАЛСИБ-ЮГ БАНК» реестр на открытие картсчетов и реестр на зачисление заработной платы, с указанием паспортных данных работников (фамилия, имя, отчество, дата и место рождения, серия и номер паспорта, кем и когда выдан, место выдачи, код подразделения, полный адрес места регистрации);

      - в соответствии с п.1.3.28 Дополнительного соглашения к договору на
      осуществление бухгалтерского и юридического сопровождения» от 31.08.2009 № 02, ЗАО «СевКавТИСИЗ» передает в ООО «Маковецкий и Партнеры» личные карточки учета и трудовые книжки работников, содержащие персональные данные.

      3. В договоре об оказании услуг по организации расчетов от 02.04.2009 № ZD 09_04_07, заключенном между ЗАО «СевКавТИСИЗ» и ОАО АКБ «УРАЛСИБ-ЮГ БАНК» и предусматривающем в п. 2 Приложения № 1 передачу персональных данных работников ЗАО «СевКавТИСИЗ» в ОАО АКБ «УРАЛСИБ-ЮГ БАНК», отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке, что является нарушением требований ч.4 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

      4. В представленной ЗАО «СевКавТИСИЗ» форме согласия Шугайло А.Л. от 01.04.2010 на обработку его персональных данных отсутствует цель обработки персональных данных и порядок отзыва согласия, что является нарушением требований ч.4 ст.9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

      5. ЗАО «СевКавТИСИЗ» осуществляет обработку специальной категории персональных данных - состояние здоровья, обработка (сбор и хранение) которой осуществляется ЗАО «СевКавТИСИЗ» в справке предварительного медицинского осмотра Быковченко Р.А., выданной МУЗ ГП № 5), что является нарушением требований ч.1 ст.10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
      Полностью посмотреть данное решение можно на сайте http://ras.arbitr.ru/ дело А32-29596/2010
      Таким образом, суд дважды счел доводы Роскомнадзора справедливыми.

      2. Помимо согласия на передачу ПДн в банк, в данном решении фигурируют и данные о здоровье сотрудников, которые находятся в справке медицинского осмотра. Организации не удалось доказать, что оператором является Роспотребнадзор. Да и доказать это довольно сложно, т.к. с Роспотребнадзором только согласуются списки сотрудников которые должны пройти медосмотр, и передаются списки в которых отмечается годен сотрудник к данному типу работ или нет. А медицинские справки хранятся непосредственно у работодателя.

      3. И остался еще один вопрос, относительно вопросов обучения и доверенностей.
      В договорах на обучение сотрудник не является одной из сторон - договор заключается между организациями. Получается с сотрудников при обучении в сторонней организации необходимо брать согласие на передачу их ПДн? Тот же самый вопрос возникает и с доверенностью.
      Вопрос про доверенность обсуждается еще и в соседней ветке, но однозначный ответ на него так и не найден, хотя есть и такое удобное мнение
      Сообщение от Алексей Лукацкий Посмотреть сообщение
      Ну есть и еще один вариант. Доверенность - это вещь, предусмотренная ГК, т.е. федеральным законодательством. Следовательно, согласие не нужно.

      Комментарий


      • #4
        Сообщение от Uomo Посмотреть сообщение
        Но вопросы тем не менее остались.
        1. По заработной плате. Интересен первый вариант. Сотрудник сам заключает договор с банком на открытие счета.
        Но между работодателем и банком заключен договор на перечисление заработной платы сотрудников на кардсчета. Издержки по открытию счета, перевыпуску карты, перечислению средств - несет работодатель. Работодателем же передаются списки сотрудников которым перечисляется заработная плата, с номерами счетов, ФИО, паспортными данными.
        Сотрудник же только пишет заявление в котором просит работодателя перечислять заработную плату на счет в банке, а счет оформить за счет работодателя.
        Выделил красным ключевой момент: сотрудник поручает работодателю совершить в его интересах определенные действия.

        Ну и см. требования ст.136 ТК РФ. Т.е. порядок выплаты на карточный счет должен быть оговорен в трудовом или коллективном договоре - соответственно обработка по закону + обработка по договору и согласие не требуется (естественно если Вы выполнили требования ТК)
        Сообщение от Uomo Посмотреть сообщение
        Здесь же приведу решение суда, по схожему случаю:

        Полностью посмотреть данное решение можно на сайте http://ras.arbitr.ru/ дело А32-29596/2010
        Таким образом, суд дважды счел доводы Роскомнадзора справедливыми.
        1. Действительно судиться с гос-ами тяжело т.к. суды отдают им преимущество.

        Все животные равны, но есть равнее (с) Оруэлл "Скотный двор"

        2. Судья принимает решение на основании собственного понимания и аргументов сторон. Соответственно если одна из сторон не имеет достаточных аргументов, то маловероятно, что решение будет в ее пользу.

        И не забываем, что право у нас не прецедентное и даже один и тот же суд по двум одинаковым делам по одному и тому же вопросу может принять прямо противоположные решения
        Сообщение от Uomo Посмотреть сообщение
        2. Помимо согласия на передачу ПДн в банк, в данном решении фигурируют и данные о здоровье сотрудников, которые находятся в справке медицинского осмотра. Организации не удалось доказать, что оператором является Роспотребнадзор. Да и доказать это довольно сложно, т.к. с Роспотребнадзором только согласуются списки сотрудников которые должны пройти медосмотр, и передаются списки в которых отмечается годен сотрудник к данному типу работ или нет. А медицинские справки хранятся непосредственно у работодателя.
        А организации не надо доказывать, что оператор Роспотребнадзор. Организации надо доказать, что она не определяет цели и состав обрабатываемых ПДн по данной цели и, соответственно, она не является оператором. Кто и как будет определять оператора далее это уже не головная боль организации.

        Ст.213 ТК РФ
        Ст.34 №52-ФЗ 1999
        СанПиН 2.2.2/2.4.1340-03
        Приказ Министерства здравоохранения и социального развития Российской Федерации от 16.08.2004 № 83

        И вообще, при определении оператор/не оператор я ориентируюсь на то можно ли эти данные не обрабатывать и кто даст за необработку "по шее". Вот там, где Вы можете не обрабатывать и Вам за это ничего не будет (кроме собственных рисков не связанных с регуляторным воздействием) Вы и будете оператором
        Сообщение от Uomo Посмотреть сообщение
        3. И остался еще один вопрос, относительно вопросов обучения и доверенностей.
        В договорах на обучение сотрудник не является одной из сторон - договор заключается между организациями. Получается с сотрудников при обучении в сторонней организации необходимо брать согласие на передачу их ПДн?
        Вот в этом случае согласие требуется.
        Хотя бывает, что заключается договор работодателя с сотрудником на обучение (например после обучения должен проработать столько-то или возвратить стоимость обучения) - тогда в этом договоре следует оговорить согласие на передачу и отдельного согасия не потребуется

        По доверенностям.
        Здесь предлагается вариант решения в рамках обсуждения на открытом форуме - и Ваше дело его применять или не применять т.к. все риски на Вас. Никто не может принудить Вас использовать тот или иной предложенный вариант - еще раз повторю, что это Ваше решение на основании Ваших убеждений.

        1. ЗАО «СевКавТИСИЗ» было представлено в Управление Роскомнадзора по Краснодарскому краю уведомление об обработке персональных данных, содержащее неполные сведения, а именно: отсутствует специальная категория персональных данных - стояние здоровья, обработка (сбор и хранение) которой осуществляется ЗАО СевКавТИСИЗ» (в справке предварительного медицинского осмотра Быковченко Р.А., выданной МУЗ Городская поликлиника № 5), что является нарушением ч.3 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
        П.8 ч.2 ст.22 ЗоПД.
        - в соответствии с п.1.3.28 Дополнительного соглашения к договору на
        осуществление бухгалтерского и юридического сопровождения» от 31.08.2009 № 02, ЗАО «СевКавТИСИЗ» передает в ООО «Маковецкий и Партнеры» личные карточки учета и трудовые книжки работников, содержащие персональные данные.
        Ч.4 ст.6 ЗоПД

        Комментарий


        • #5
          Всем доброго дня!

          Есть такой пункт в согласии:

          сведения о семейном положении:

          · состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и);

          · степень родства, фамилии, имена, отчества, даты рождения, место работы, должность, местожительства, мобильный/домашний телефон других членов семьи/близких родственников

          · условия проживания


          Смущает второй подпункт, так как согласие я даю на обработку своих ПДн., а предоставлять должен на членов моей семьи, на сколько это правомерно на сегодняшний день и не избыточны ли эти данные?

          Заранее спасибо!

          Комментарий


          • #6
            Я это у себя в голове обосновал Трудовым Кодексом - кадровики используют утверждённые формы документов, основываясь на ТК РФ.

            Комментарий


            • #7
              Только вот формы документов в ТК отсутствуют ;-)

              Комментарий


              • #8
                Недавно проходили проверку Роскомнадзора. Они ну очень настаивали на наличие согласий работников... про запас ... и на прошлое, когда многое не было закрыто законами.
                У нас по существующим процессам в организации всё нормально и документально закрыто либо законодательно, либо договорами (например: договор об отправке на обучение туда-то для того-то и т.д., с полной конкретикой). Так как сбор согласий процедура не затратная (доп.средств не требуется) - решили собирать "про запас", для возможной передачи не определённому третьему лицу. Хотя без конкретики это согласие - не согласие.
                Для Банков есть момент: передача данных кассиров, зав. касс, которые ставят хранилище, сейфовые комнаты, кассовые узлы, кассы на охрану в охраняющую организацию (вневедомственная, ЧОП). На это законодательного обоснования мы не нашли, потому собрали согласия с конкретикой. Хотя это с кассирами изначально необходимо предусматривать в трудовых договорах, но может измениться охраняющая организация и т.д.
                Ещё нам давили на передачу данных в гостиницу в командировке, но мы данных не передаём. Организация помогает в бронирование, но передача перс.данных совершается при заселение самим субъектом - а на это есть законодательство.
                По поводу мед.осмотров: работодатель обрабатывает информацию о годности или не годности для выполнения определённой работы. Диагнозы обрабатывают врачи. Карточки пусть хранят сами, у работодателя только заключение о проф. пригодности.

                Комментарий


                • #9
                  agmalov: а Согласие родственников не требовали? Вот РКН Саратовской области, оказывается, требует: http://64.rsoc.ru/news/news15274.htm

                  Комментарий


                  • #10
                    Сообщение от alexmib Посмотреть сообщение
                    Я это у себя в голове обосновал Трудовым Кодексом - кадровики используют утверждённые формы документов, основываясь на ТК РФ.
                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                    Только вот формы документов в ТК отсутствуют ;-)
                    В ТК действительно отсутствуют такие формы документов. Они утверждены постановлением №1 от 5 января 2004г. ГосКом РФ по статистике.
                    Сообщение от agmalov Посмотреть сообщение
                    По поводу мед.осмотров: работодатель обрабатывает информацию о годности или не годности для выполнения определённой работы. Диагнозы обрабатывают врачи. Карточки пусть хранят сами, у работодателя только заключение о проф. пригодности.
                    Мы тоже приняли решение, что у нас хранится только заключительный акт о прохождении медосмотра, который требуется Роспотребнадзору, а все медицинские карты отдаются на руки самим работникам.
                    Сообщение от alexmib Посмотреть сообщение
                    agmalov: а Согласие родственников не требовали? Вот РКН Саратовской области, оказывается, требует: http://64.rsoc.ru/news/news15274.htm
                    Боюсь быть вовлеченным в "конфесиальные" споры по поводу обезличенных данных, но на мой взгляд, сведения о родственниках - это обезличенные ПДн. И собираются они, во исполнение ТК РФ, для заполнения карточки Т2 утвержденной госкомстатом.

                    Комментарий


                    • #11
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Только вот формы документов в ТК отсутствуют ;-)
                      Да, формы документов утверждены Госкомстатом во исполнение ст.6 ТК, согласно которой установлена государственная система статистической отчетности по вопросам труда и охраны труда. И в рамках этой системы разработаны и утверждены формы документов, в том числе и Т-2.

                      Комментарий


                      • #12
                        Запросил про родственников сотрудников в карточке Т-2 в консультационном центре АРБ. Меня отправили к информ.письму №4, пп.5-7
                        5. В случаях, когда по заключенному договору разовые платежи осуществляются третьими лицами в целях его исполнения, согласия третьего лица на обработку его ПДн также не требуется, что вытекает их п.2 ч.2 ст.6 ФЗ-152.

                        6. Не требуется и согласие лица на обработку его ПДн, в случае осуществления платежа покупателем или предъявления счета за поставку товара продавцом (даже без заключения договоров подряда). В данном случае счет за поставку товара является офертой на заключение договора, а оплата счета - акцептом. Речь идет о фактическом выполнении договорных обязательств.

                        7. Не требуется согласия субъектов – физических лиц на обработку их ПДн в случаях осуществления ими коммунальных и иных платежей, осуществления денежных переводов, разовые операции по продаже и покупке валюты. Получение их согласия невозможно ввиду кратких сроков совершения банковских расчетных операций, установленных законом (ст.849 ГК РФ), а также по причинам указанным в п. 6 настоящего письма.
                        Подскажите, где тут ответ на мой вопрос?

                        Комментарий


                        • #13
                          Сообщение от alexmib Посмотреть сообщение
                          Запросил про родственников сотрудников в карточке Т-2 в консультационном центре АРБ. Меня отправили к информ.письму №4, пп.5-7

                          Подскажите, где тут ответ на мой вопрос?
                          Более менее внятно говорится про родственников в п.8 того же письма, но только Ваш вопрос это не раскрывает.

                          Комментарий


                          • #14
                            Это был ответ на другой вопрос (конс.центр не указывает в письме на какой вопрос он отвечает), вот ответ про согласие родственников:
                            Согласие родственников сотрудника, чьи некоторые ПДн он указывает в анкете получать не надо. Ответственность за их достоверность лежит на сотруднике. Тем более, что данные на его родственников являются скорее данными, характеризующими сотрудника.

                            Комментарий


                            • #15
                              Сообщение от alexmib Посмотреть сообщение
                              ...вот ответ про согласие родственников:
                              Согласие родственников сотрудника, чьи некоторые ПДн он указывает в анкете получать не надо. Ответственность за их достоверность лежит на сотруднике. Тем более, что данные на его родственников являются скорее данными, характеризующими сотрудника.
                              По моему редкостной глупизны отмазка! Уж лучше тогда косить на то, что Госстат указал в своем постановлении, что форма Т2 изготовлена "во исполнение ТК". А еще лучше вообще избавиться от этих данных, потому как масса случаев, когда никакие отмазки не принимаются Роскомнадзором. Черт его знает, что нашим вахлакам в голову придет?!

                              Комментарий


                              • #16
                                Сообщение от alexmib Посмотреть сообщение
                                вот ответ про согласие родственников:
                                они не публикуют ответы на сайте? (не получилось найти на АРБ)

                                Комментарий


                                • #17
                                  Они их публикуют в виде "информационных писем" Консультационного центра здесь

                                  Комментарий


                                  • #18
                                    Нет. Согласий от родственников не понадобилось.

                                    Комментарий


                                    • #19
                                      8. Ст. 4 Федерального закона от 27 июля 2010 года № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» содержится исчерпывающий перечень инсайдеров. В данном перечне отсутствуют родственники инсайдеров.
                                      По указанным причинам родственники физических лиц – инсайдеров, которыми являются и сотрудники банков, не должны включаться в перечень инсайдеров (ст.9 ФЗ-224). Их персональные данные не могут обрабатываться банками. Следовательно, их согласие не требуется.
                                      Родственники сотрудников банка были отнесены к числу инсайдеров в соответствии с официальным разъяснением ЦБ РФ от 17 декабря 2004 года № 31-ОР «О применении отдельных положений Инструкции Банка России от 16.01.2002 года № 110-И «Об обязательных нормативах банков».
                                      Поскольку ФЗ-224 является нормативным правовым актом, изданным позднее, и обладает высшей юридической силой по отношении к подзаконному акту ЦБ РФ, то указанная коллизия должна быть разрешена путем определения перечня инсайдеров в соответствии со ст.4 ФЗ-224.
                                      Если банк все же включает в перечень инсайдеров родственников сотрудников, руководствуясь Официальным разъяснением ЦБ РФ № 31-ОР от 17 декабря 2004 года, то в данном случае получение согласия указанных лиц на обработку их ПДн необходимо.
                                      Имхо грубо, но заменить слово "инсайдер" на "работник" и ответ всплывает сам по себе. Нужны согласия с родственников.

                                      Комментарий

                                      Обработка...
                                      X