Защита персональных данных работника по ТК РФ

Все организации работают с персональными данными. Даже если нет базы клиентов – физических лиц, то есть база сотрудников. Соответственно, все работодатели являются операторами персональных данных и должны соблюдать требования к сбору, хранению, обработке и уничтожению персональных данных в соответствии с требованиями, указанными в Законе 152-ФЗ и в главе 14 ТК РФ.

Как соблюсти все требования к защите персональных данных работников в своей статье рассказывает эксперт «Что делать Консалт». Также она дает полный разбор мер, которые обязан предпринять работодатель, чтобы защитить персональные данные работников с учётом всех требований законодательства.

Определить цель обработки

В законе указаны принципы работы с персональными данными, среди которых целевой характер обработки. Цель необходимо определить в первую очередь, ещё до начала обработки. Именно такую цель нужно указывать в документах по персональным данным. Вокруг цели складывается порядок действий по работе с персональными данными. За обработку персональных данных, не совместимых с целями обработки, возможно привлечение к ответственности. Штраф по ч. 1 ст. 13.11 КоАП РФ для организации от 60 000 до 100 000 рублей.

В рамках трудового законодательства выделяют следующие цели обработки:

• ведение кадрового делопроизводства;
• содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
• привлечение и отбор кандидатов на работу у оператора;
• организация постановки на индивидуальный (персонифицированный) учёт работников в системе обязательного пенсионного страхования;
• заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчётности;
• ведение бухгалтерского учёта.

Целей обработки у оператора может быть несколько, при этом не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой (ст. 5 Закона 152-ФЗ). Если организация обрабатывает персональные данные не только сотрудников, но и клиентов, то объединять эти базы нельзя.

Разработать документы по защите персональных данных

Закон не содержит чёткого перечня документов, которые должны быть у оператора персональных данных. Рекомендуем разработать следующие документы.

1. Политика в отношении обработки персональных данных. Это самый главный документ, который устанавливает категории, цели, способы обработки, порядок хранения и использования. Роскомнадзором разработаны рекомендации по составлению этого документа (Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»). В законе нет ответа на вопрос, необходимо ли составлять политику об обработке персональных данных сотрудников отдельно или можно утвердить один документ и включить в него все категории персональных данных, которые обрабатываются в организации. Вы можете выбрать любой вариант. Обратите внимание, политика в отношении обработки персональных данных работников является обязательным локальным нормативным актом организации, и сотрудники должны быть ознакомлены с ней под подпись (п. 8 ст. 86 ТК РФ).

Формы и образцы заполнения политики в отношении обработки персональных данных вы можете найти в справочно-правовой системе КонсультантПлюс:

Форма: Политика оператора в отношении обработки персональных данных (образец заполнения) (КонсультантПлюс, 2022) {КонсультантПлюс}

Форма: Положение (политика) о персональных данных работников организации (Подготовлена для системы КонсультантПлюс, 2022) {КонсультантПлюс}

1. Приказ о назначении ответственного за организацию обработки персональных данных. Это следует из ч. 1 ст. 22.1 Закона 152-ФЗ. Закон не устанавливает требований к должности работника. Им может быть любой сотрудник организации.
2. Приказ об утверждении перечня работников, имеющих доступ к персональным данным.
3. Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным.

Обратите внимание на документы, которые касаются лиц, имеющих доступ к персональным данным. Это очень важно. В первую очередь это поможет избежать ответственности за нарушение законодательства. Если таких документов нет, то получается, что вы передали информацию третьим лицам без согласия. За такие действия возможен штраф по ст. 13.11 КоАП РФ. Для юридических лиц от 30 000 до 150 000 рублей. Кроме того, это поможет привлечь к ответственности лиц в случае разглашения такой информации.

Можно разработать и другие документы, например регламенты по работе с персональными данными или журналы учёта.

Готовые решения СПС КонсультантПлюс подскажут, как действовать в конкретной ситуации: пошаговые инструкции, образцы документов, ссылки на правовые акты.

подробнее

Опубликовать политику ПД

После разработки документов один из них необходимо опубликовать или обеспечить к нему неограниченный доступ. Речь идёт о политике персональных данных. Это следует из ч. 2 ст. 18.1 Закона 152-ФЗ. Соблюсти требования закона можно следующим образом:

• опубликовать политику на сайте организации;
• разместить на информационном стенде в офисе.

Актуальный вопрос: необходимо ли публиковать политику в области обработки персональных данных работников? Такого требования нет в Трудовом кодексе. Кроме того, из п. 8 ст. 86 ТК РФ следует, что работники должны быть ознакомлены с таким документом под подпись, и нигде не указано, что работодатель должен предоставлять к локально-нормативным актам открытый доступ. Но обработка персональных данных работника регулируется не только Трудовым кодексом. Работодатель является оператором персональных данных. На него возложены соответствующие обязанности. Таким образом, политика также должна быть опубликована на сайте или корпоративном портале. Если у организации нет возможности опубликовать политику на сайте, то документ можно разместить на информационном стенде в офисе, например в отделе кадров.

Обращаем внимание, в случае проверки вы должны подтвердить, что к политике был предоставлен неограниченный доступ. Если политика не опубликована, то возможен штраф по ч. 3 ст. 13.11 КоАП РФ. Для юридических лиц от 30 000 до 60 000 рублей.

Уникальный инструмент «Перспективы и риски арбитражных споров» СПС КонсультантПлюс поможет одержать победу в судебном споре.

подробнее

Уведомить Роскомнадзор

До начала обработки оператор обязан подать уведомление в Роскомнадзор о своём намерении осуществлять обработку персональных данных. Это следует из ч. 1 ст. 22 Закона 152-ФЗ.

В некоторых случаях законом предусмотрены исключения, среди которых обработка в соответствии с трудовым законодательством.

Обратите внимание, исключение действует только на те данные, которые обрабатываются в соответствии с трудовым законодательством: для исполнения оператором обязанностей как работодателя и для исполнения работником его трудовой функции. Если работодатель собирает и хранит информацию, которая выходит за пределы трудовых отношений, например сведения об имущественном положении, то он должен уведомить Роскомнадзор.

Аналогичное уведомление необходимо направить, если цель обработки выходит за рамки трудового законодательства. Например, в случае если организация передаёт персональные данные в рамках аудиторской проверки. Это связанно с тем, что передача аудиторской организации информации о работниках ООО проводится не в соответствии с трудовым законодательством, а в соответствии с Законом № 307-ФЗ. При этом проводится аудит в обязательном порядке или добровольном, не имеет правового значения.

Если вы сомневаетесь, распространяются ли на вас данные исключения, то рекомендуем подать уведомление. Реестр Роскомнадзора включает уже более 400 000 операторов. Включение в реестр не влечёт возникновения дополнительных обязанностей. В случае, когда вы должны были подать уведомление, но не сделали этого, возможна административная ответственность. Штраф по ст. 19.7 КоАП РФ для юридических лиц ‒ от 3 000 до 5 000 рублей.

Направить уведомление можно на бумажном носителе или в электронной форме.

Если вы подаёте уведомление в бумажной форме, то необходимо придерживаться рекомендаций по заполнению, указанных в п. 3.1 Методических рекомендаций, утверждённых Приказом Роскомнадзора от 30.05.2017 № 94. Сама форма приведена в приложении 1 к указанным рекомендациям.

Вы можете подать документ в электронном виде. Форма документа и порядок её заполнения размещены на портале Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/notification/, п. 3.2 Методических рекомендаций, утверждённых Приказом Роскомнадзора от 30.05.2017 № 94).

Если сведения, которые вы подавали, изменились или обработка персональных данных прекращена, то необходимо уведомить Роскомнадзор в течение 10 рабочих дней с даты возникновения изменений или прекращения обработки персональных данных (ч. 7 ст. 22 Закона 152-ФЗ).

Получить согласие на обработку персональных данных

Обрабатывать персональные данные без согласия субъекта нельзя. Это следует из п. 1 ч. 1 ст. 6 Закона 152-ФЗ. Соответственно, перед началом обработки необходимо получить согласие субъекта.

Законодательство допускает включить согласие на обработку персональных данных в трудовой договор, заключаемый по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 № 858). Такую форму вправе использовать микропредприятия и некоммерческие организации, которые соответствуют требованиям, указанным в ст. 309.1 ТК РФ. В форме прямо предусмотрено соответствующее положение. Типовой трудовой договор заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях рекомендуем получать согласие отдельным документом. Включение такого условия в трудовой договор сопряжено определёнными рисками. Например, суд или контролирующий орган может посчитать, что согласие было дано вынуждено и оно не соответствует требованиям, указанным в ст. 9 закона 152-ФЗ. Кроме того, если работник отзывает согласие на обработку персональных данных, которое включено в трудовой договор, то необходимо оформлять дополнительное соглашение, поскольку изменились условия, отражённые в документе.

Образец согласия на обработку персональных данных работника вы можете найти в справочно-правовой системе КонсультантПлюс.

Форма: Согласие работника на обработку персональных данных (образец заполнения) (Подготовлена специалистами КонсультантПлюс, 2022)

С помощью СПС КонсультантПлюс вы будете легко ориентироваться в законодательстве, вовремя отслеживать все изменения.

подробнее

Согласие на распространение персональных данных

Если планируется не только обрабатывать, но и распространять данные субъектов, то на такие действия необходимо получать отдельное согласие. Такое согласие может понадобиться, если, например, публикуется информация о сотрудниках на сайте организации.

Эти требования появились в 2021 году (ст. 10.1 Закона 152-ФЗ). Согласие на обработку персональных данных, разрешённых для распространения, получается отдельно от иных согласий. Если работник подписал согласие на обработку персональных данных, но не дал согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо. Субъект самостоятельно выбирает, какую информацию о себе разрешает распространять. Например, он может предоставить для обработки Ф.И.О., дату рождения, СНИЛС, сведения об образовании, а дать разрешение на распространения только на Ф.И.О. и сведения об образовании.

Согласие на распространение может быть предоставлено оператору следующими способами (п. 6 ст. 10.1 Закона № 152-ФЗ):

• непосредственно на бумаге с личной подписью;
• через информационную систему Роскомнадзора.

К такому согласию применяются особые требования, указанные в Приказе Роскомнадзора от 24.02.2021 № 18. На портале Роскомндзора функционирует интернет-сервис для подготовки формы такого согласия (https://pd.rkn.gov.ru/soglasiya/maket/).

Хранить в соответствии с законодательством

При хранении персональных данных вы должны принять правовые, организационные и технические меры, чтобы не допустить любые противоправные действия в отношении этих данных, например утечку, кражу, незаконное распространение (ст. 19 Закона 152-ФЗ).

Закон предъявляет ряд требований к порядку хранения:

• срок хранения ‒ сколько достаточно для обработки;
• при хранении должна быть возможность определить субъект;
• в ходе хранения должна происходить актуализация сведений. Если информации недостаточно или она неточная, то персональные данные необходимо удалить;
• по каждой цели обработки должна быть отдельная база. Объединять нельзя. Например, базы данных работников и клиентов;
• после обработки информацию нужно уничтожить или обезличить.

Можно обрабатывать данные с помощью средств автоматизации (базы данных) или без их использования (на бумаге). Это следует из п. 3 ст. 3 Закона 152-ФЗ.

Обращаем внимание, при автоматизированной обработке необходимо использовать только те базы, которые находятся в России. Это касается также сбора сведений через интернет (ч. 5 ст. 18 Закона 152-ФЗ). В случае использования баз данных, находящихся на территории других государств оператор может быть привлечён к административной ответственности. Штраф по ч. 8 ст. 13.11 КоАП РФ от 1 000 000 до 6 000 000 рублей.

Если вы собираетесь передать персональные данные за границу, вы вправе это сделать, но первоначально должны внести их в базу данных на территории РФ, а затем уже осуществлять их трансграничную передачу по правилам, указанным в ст. 12 Закона 152-ФЗ.

Уничтожить в соответствии с требованиями закона

Персональные данные работников уничтожаются в следующих случаях:

• Достигнута цель обработки (п. 4 ст. 21 Закона 152-ФЗ). В отношении работника цели определяются требованиями трудового законодательства, при этом на момент увольнения цель обработки ещё не достигнута, поскольку на работодателе остаются обязанности по сдачи отчётности, кроме того, в законе указаны сроки хранения кадровых документов. Когда цель достигнута, то персональные данные подлежат удалению. Срок уничтожения ‒ 30 дней с даты достижения цели обработки.
• Субъект отозвал согласие на обработку (п. 5 ст. 21 Закона 152-ФЗ). Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона 152-ФЗ). В данной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в пп. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона 152-ФЗ. Например, для исполнения обязанностей, возложенных на него по закону: выплата заработной платы, сдача отчётности, хранение кадровых документов. Это следует из ч. 2 ст. 9 Закона 152-ФЗ. Соответственно, после отзыва согласия работника вы можете продолжить обработку данных для исполнения ваших обязанностей как работодателя. Те данные, которые не нужны для исполнения таких обязанностей, вы должны удалить. Срок уничтожения ‒ 30 дней с даты отзыва согласия.

Закон не предусматривает требований к удалению персональных данных, но вы должны иметь возможность подтвердить этот факт. Рекомендуем создать комиссию, составить акт или иным образом зафиксировать удаление. Формы документов утверждаются оператором (<Информация> Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных»).

Итак, в работе с персональными данными работников много сложностей. Необходимо составить ряд документов, получить согласие, обеспечить надёжное хранение. Подробные инструкции, формы и образцы заполнения документов вы можете найти в справочно-правовой системе КонсультантПлюс.

Путеводитель по кадровым вопросам. Персональные данные работников {КонсультантПлюс}

Готовое решение: Какие существуют требования к обработке персональных данных работников организации (КонсультантПлюс, 2022) {КонсультантПлюс}

Готовое решение: Какие меры по защите персональных данных работников должны предприниматься при обработке этих данных (КонсультантПлюс, 2022) {КонсультантПлюс}

С помощью СПС КонсультантПлюс вы сможете уверенно взаимодействовать с надзорными органами, органами государственной и муниципальной власти.

Вопрос

Может ли работодатель в личном деле сотрудника хранить не только персональные данные в виде информации, но и копии его личных документов (паспорт, СНИЛС, ИНН и др.)?

Ответ

По данному вопросу есть две точки зрения.

Согласно разъяснениям Роструда работодатель может хранить копии документов в личном деле, если работник дал согласие на хранение и обработку персональных данных (Доклад с руководством по соблюдению обязательных требований, дающих разъяснение, какое поведение является правомерным, а также разъяснение новых требований нормативных правовых актов за II квартал 2017 г. (утв. Рострудом)).

Роскомнадзор придерживается противоположной позиции. По мнению ведомства такое хранение является обработкой персональных данных, избыточных по отношению к заявленным целям обработки, что нарушает ч. 5 ст. 5 Закона 152 ФЗ. Если в ходе проверки выявится, что организация хранит копии личных документов сотрудника, то она может быть привлечена к ответственности (ч. 1 - 2.1 ст. 13.11 КоАП РФ).

Позиция Роскомнадзора подтверждается судебной практикой: Постановление Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/2013 по делу № А53-12557/2013, Постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013. Согласно позиций судов хранение копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребёнка на рабочем месте превышает объём обрабатываемых персональных данных работника, что действующим законодательством не предусмотрено, а также нарушает права и свободы гражданина, снижает уровень прав и гарантий работника и противоречит федеральному законодательству.

В связи с тем что позиция по данному вопросу неоднозначна, для исключения возможных претензий к работодателю, а также риска административной ответственности по ст. 13.11 КоАП РФ не рекомендуем хранить копии личных документов работника.

Смотрите по этой теме видео на нашем YouTube-канале