Вопрос. Знаем, что сотрудники имеет право отозвать свои персданные. В связи с этим у нас возникли вопросы. Какие персональные данные работник может отозвать? Какая процедура отзыва установлена? Что делать работодателю после отзыва работника?
Рекомендация эксперта ИПК. Ответим на вопросы по прядку.
Какие персданные можно отозвать. По общему правилу обработка персональных данных допускается с письменного согласия субъекта ПД (п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ). Однако в отдельных случаях такое согласие не требуется. В частности, если работодатель обрабатывает персданные для выполнения функций, полномочий и обязанностей, которые возложены на него как на оператора по законодательству России.
Работник может отозвать только те данные, на обработку которых требовалось согласие субъекта (ст. 9 Закона № 152-ФЗ). Поэтому работник не может отозвать свои ФИО, паспортные данные, СНИЛС, которые обязательны для предоставления при заключении трудового договора.
Он вправе отозвать информацию о семейном положении, детях, инвалидности. При этом важно уведомить работника, что работодатель не сможет реализовать предоставление ему прав и гарантий, которые установлены законом.
Какая процедура отзыва. Эта процедура законодательно не определена. Важно, чтобы:
-
отзыв был письменным;
-
способ отзыва был прописан в согласии на обработку персональных данных (согласно ст. 9 Закона № 152-ФЗ);
-
работодатель мог убедиться, что отзыв персданных – воля конкретного работника.
Пропишите процедуру отзыва в локальных актах (ЛНА) по защите персональных данных. Ознакомьте с ними работников под роспись (согласно п. 8 ст. 86 ТК РФ).
Что делать после отзыва. Получив от работника отзыв согласия на обработку его персданных, работодатель обязан (ст. 21 Закона № 152-ФЗ):
-
прекратить их обработку;
-
обеспечить прекращение такой обработки (если ее осуществляет другое лицо, которое действует по поручению оператора);
-
уничтожить персональные данные в течение 30 дней (если не установлен иной срок);
-
блокировать такие персональные данные или обеспечить их блокирование и уничтожение в срок не более чем шесть месяцев – если отсутствует возможность уничтожить ПД в течение 30 дней.
Как подтвердить уничтожение ПД, регулирует новый акт – Приказ Роскомнадзора от 28.10.2022 № 179. Он вступил в действие с 1 марта 2023 года.
|
Памятка «Позиции о том, какие сведения относят к персональным данным»
Перечень обязанностей организации по работе с персданными |
