Персональные данные работника

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2021 года

ФИО и любая другая личная информация о гражданине – это персональные данные.

Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных».

За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

Но обычно к ним принято относить:

• фамилию, имя, отчество;
• адрес проживания;
• электронный адрес;
• номер телефона;
• дата рождения;
• место рождения;
• национальность;
• вероисповедание;
• место работы;
• должность;
• рост;
• вес;
• и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

• сотрудников, работающих по трудовым договорам;
• работающих по договорам ГПХ;
• и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
   • Приказ о назначении ответственного за организацию обработки персональных данных;
   • Документ, определяющий политику оператора в отношении обработки персональных данных;
   • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
   • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
   • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
   • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
   • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
   • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
   • Документ о классификации информационных систем;
   • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
   • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.

Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.

), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

https://www.youtube.com/watch?v=qSvLMhuHsQ4

Добросовестный провайдер:

• По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.

• Ознакомит со своей Политикой в отношении персональных данных клиентов.
• Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафоватьСумма штрафа

Персональные данные обрабатываются не в тех целях, на которое дано согласиеНапример, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.	от 30 000 до 50 000 руб.
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)	от 15 000 до 75 000 руб.
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)	от 15 000 до 30 000 руб.
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.	от 20 000 до 45 000 руб.
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.	от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

• В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).

Персональные данные работника, что это, как обрабатываются и хранятся

Персональные данные работника — это личная информация о работнике. Установлены требования к получению и хранению сведений. Статья расскажет о том, как происходит их сбор и обработка.

Определение

Законодатель подразумевает, что это сведения, которые относятся к работнику. Отношение может быть прямым или косвенным. Информация относится к определенному человеку. Закон не отражают список того, что включено в персональные данные. Отражены общие принципы, относящиеся к понятию.

Юристы говорят, что определение оценочное. Информация предоставляется во время заключения трудового соглашения. Сотрудник может подписать согласие, чтобы сведения получены были от третьего лица. Такая категория не может включать в себя сведения обезличенные.

В перечень данных включается:

• фамилия и инициалы;
• день, когда человек появился на свет;
• место, где он прописан;
• семейное и материальное положение;
• наличие образования;
• какая профессия получения;
• уровень доходов.

Федеральный закон № 152-ФЗ указывает на другие данные. К ним отнесена информация о принадлежности к расе, национальности. Убеждения и состояние здоровья входят в эту группу. Сведения отражены в документации. Это может быть:

1. Акт, посредством которого удостоверяется личность.
2. Трудовая книжка.
3. Справка, взятая с прошлых мест работы.
4. Личная карточка и т. д.

Работодатель хранит перечисленные акты в копиях. В качестве исключения выступают анкеты, карточки сотрудников и трудовые книжки.

Требования к защите

Глава 14 Трудового кодекса предусматривает требования, касающиеся защиты данных. Устанавливается обязанность руководителя во время обработки информации учитывать требования. Целью обработки выступает обеспечение законных положений и содействие человеку в устройстве на работу. Чтобы определить объем сведений, требуется руководствоваться основным законом страны, ТК.

https://www.youtube.com/watch?v=N_jkyFiDpS8

Получение информации допускается только от самого сотрудника. Когда получить ее можно у третьего лица – человек должен заранее сообщить об этом руководству компании. Потребуется подписать согласие. Работодателем не обрабатываются данные, отнесенные к группе специальных. Это сведения об интимной жизни, расе и т. п.

Меры по защите информации принимаются руководством компании. Оплачиваются средствами предприятия. Порядок защиты отражается в законах. Ознакомление сотрудников с документацией, отражающей порядок сбора данных, проводится под подпись.

Установлено, что человек не должен лишаться своих правомочий для того, чтобы сохранить тайну. Выработка мер по защите осуществляется работодателями вместе с сотрудниками. Исключительные ситуации отражаются в законах.

С какими данными работает фирма

Согласно Федеральному закону № 152-ФЗ к персональным сведениям относится все, что указывает на человека. В ТК отражен список документации, которую человеку потребуется собрать при трудоустройстве. В ней должна отражаться:

• фамилия и инициалы;
• полученное образование;
• места работы;
• адрес, по которому прописан и живет;
• данные акта, посредством которого удостоверяется личность и т. д.

Перечисление мест, где трудился человек, осуществляется в хронологическом порядке. Учитывать нужно период, когда лицо служило в армии. В этот перечень входит номер сотового, электронный адрес. Представляют сведения о документах, в том числе пенсионное свидетельство и ИНН.

Согласие на обработку

Законодатель предусматривает, что получение информации осуществляется при согласии человека. Выражается оно в письменной форме. Заполняется документ сотрудников собственноручно. Когда другой человек представляет сведения – необходимо получить согласие от работника.

В законе отражено, что согласие должно быть сознательными и информированным. Дает его человек, о котором предоставляется информация или его представитель. Исключения могут быть отражены в законах. Закон не говорит, что согласие выражается в письменной форме. Такие правила установлены в статье 13.11 КоАП.

Исходя из этой нормы указывают, что в ситуациях, отраженных в законе, получение согласия происходит в письменной форме. Оно необходимо для того, чтобы в возможной спорной ситуации доказать получение сведений на законных основаниях. Письменный документ поможет доказать правоту.

Обработка

Устанавливается требование для организации относительно разработки нормативных актов. В них отражается порядок обработки информации. Все работники предприятия знакомятся с документом, ставят подпись. Обработка сведений осуществляется в конфиденциальном порядке. Третьи лица не имеют доступа к информации.

Передать сведения работодатель может при наличии согласия работника. Исключения прописаны в законе. К ним отнесены ситуации, когда запрашивают информацию представители правоохранительных органов, суды. Установлено, что сообщать данные работника по телефону – нельзя.

Как передавать?

Выделяют несколько видов обработки. Передана информация может быть внутри предприятия или за его пределами. Статья 88 ТК отражается правила, соблюдающиеся при передаче. Запрещено сообщать данные третьим лицам или с целью получения денег.

Исключением является угроза жизни или здоровью людей. Подобные случаи могут отражаться в трудовом или ином законе. Требуется предупреждать граждан, которыми получены сведения о работнике, о целях их использования. Цель отражается при сообщении информации.

Руководство организации имеет правомочие удостовериться в том, что указанное требование соблюдается. Лица, которым переданы сведения, берут на себя обязательство по соблюдению режима секретности. Указанные правила не распространяются на ситуации, когда получателем данных стали правоохранительные органы.

Локальные нормативные акты закрепляют правила относительно передачи информации внутри предприятия. Знакомятся граждане с этим актом под подпись. Законодатель установил новое правило. Теперь лица, зарегистрированные в качестве индивидуальных предпринимателей, обязаны издавать локальные нормативные акты, где оговорено как происходит передача данных.

https://www.youtube.com/watch?v=lVS3oNGq8KE

К информации имеют доступ лица, наделенные специальными полномочиями. Они могут получать от сотрудника информацию, которая необходима для работы. Поэтому документация в части может представляться другими лицами. Запрещено отправлять запросы о предоставлении сведений относительно состояния здоровья человека.

Это не касается ситуаций, когда нужно выяснить способен ли работник продолжать свою деятельность. Аналогичные правила распространяются относительно женщин, находящихся в состоянии беременности. Это делают, чтобы понять нужен перевод на другую работу или нет. Переводят будущую маму на место, где нет воздействия вредных факторов.

Передать информацию можно в таком объеме, который требуется для выполнения функций.

Как хранить и использовать?

Руководством предприятия устанавливается порядок, по которому осуществляется хранение и применение информации о сотрудниках. Указанные правила подлежат отражению в нормативах локального значения. Установлено, что они полностью должны отвечать требованиям законов.

Чаще всего документы, включающие сведения о человека, собираются в единый акт. Именуется он личным делом. Работодатель разрабатывает порядок ведения таких дел.

Перечень типовых управленческих документов устанавливает срок, в течение которого хранятся сведения. Постоянный срок хранения применим к тем, кто занимал руководящие должности. Аналогичные положения отнесены к сотрудникам, имеющим звания и награды, премии. Для других работников такой период равняется 75 годам. Главный акт, где отражена информация о работе – трудовая книжка.

В ней прописаны данные персонального значения. Порядок хранения такого акта отражен в Правилах, утвержденных Правительством под № 225. Согласно указанному документу на руководство компании возлагается ответственность за сохранность книжек. Руководитель вправе издать приказ и с его помощью переложить ответственность на другого сотрудника.

Руководство компании обязано создать условия для сохранности информации. Сохранить их требуется от доступа других лиц, уничтожений. В некоторых ситуациях стараются внести изменения или распространить сведения. Подобных ситуаций потребуется избегать.

Права работников

Трудовой закон указывает на то, что для защиты персональной информации, которая хранится в организации, сотрудники наделены правами относительно получения сведений по обработке.

Как пример, правила, разработанные Правительством под № 225 указывают, что руководство предприятия несет обязательства знакомить всех сотрудников с записями, внесенными в трудовые книжки. Ознакомиться граждане должны под подпись.

Работники должны знать обо всех записях, внесенных в трудовую книжку.

Сотрудники могут на безвозмездной основе пользоваться своими данными. Речь идет о снятии копий. Исключения отражены в действующем законе. Нужно указать, что работодатель не может отказать в предоставлении таких сведений. В противном случае предусматривается ответственность.

Она закреплена в уголовном и административном кодексе. Заключается ответственность в штрафных санкциях. Размер установлен от 200 до 500 МРОТ. За основу могут взять достаток виновного. Период учитывается от двух до пяти месяцев. Нарушитель лишается возможности заниматься деятельностью или находиться на определенной должности. Срок установлен от двух до пяти лет.

Человек вправе самостоятельно выбрать лицо, которое будет защищать его данные. Чаще всего такая функция возложена на профсоюзы. Устанавливается, что защита реализуется гражданином самостоятельно. Если данные медицинские – доступ к ним получают с помощью медиков. Человек вправе самостоятельно выбрать врача.

Установлены требования, касающиеся устранения информации, которая не соответствует действительности или записана с нарушением закона. Руководство предприятия оказывает помощь человеку в поиске неверно отраженных сведений в трудовой книжке. Если действия руководства организации неправомерны – человек защищает свои права в судебном порядке.

Увольнение за разглашение

Расторгнуть трудовые отношения с человеком в связи с разглашением сведений можно при условии, что информация к нему поступила при исполнении обязанностей на работе. Такое правило отражено в статье 81 ТК.

К числу таких сотрудников относят руководящий состав организации, представителей кадровых подразделений, финансовых отделов. Работа этих граждан прямо связана с обработкой информации о сотрудниках.

Когда сведения попали к человеку по случайному стечению обстоятельств – увольнение на этом основание считается не соответствующим закону.

https://www.youtube.com/watch?v=RBJFYiX5AcI

Это связано с тем, что в перечень обязанностей человека не включается работа с персональными данными. Указанная мера носит дисциплинарное значение. Поэтому при наложении взыскания требуется учитывать правила, закрепленные в законах. Сотрудник может оспорить увольнение.

Тогда руководителю потребуется с помощью документации доказать виновность человека в разглашении сведений. Доказывают, что информация поступила к человеку в результате исполнения трудовых обязанностей. Документально подтверждают, что человек обязан был не разглашать информацию.

Можно привести пример из судебной практики. Гражданин И. обратился в судебный орган и попросил признать расторжение трудового соглашения незаконным. Просьба касалась возмещения морального время. Суд при рассмотрении установил, что И. трудоустроен в фирме был электромонтером. Сотрудники кадрового отдела вызвали его для того, чтобы почить кабель от телефона.

Пока И. чинил кабель – он увидел соглашение, где отражалось увольнение гражданки Р. В документе предусматривалась значительная выплата в виде компенсации. Этот акт сотрудница отдела кадров оставила на столе. Назавтра И. пришел к руководителю организации, попросил уволиться по соглашению сторон с аналогичной выплатой.

Директор отказал. И. обиделся и рассказывал об этой ситуации другим сотрудникам. По итогу И. уволили в соответствии с приказом руководства. Причиной стало разглашение данных.

Судья удовлетворил требования И. Указали, что в обязанности И. не входила работа с персональной информацией.

Административные штрафы

В КоАП отражена ответственность за нарушения, связанные с персональными данными. Когда человеку неправомерно отказали в предоставлении информации или передали сведения с нарушением сроков – виновные привлекаются к ответу.

Эти же правила установлены, если сведения не переданы организации. Когда полученная информация не соответствует действительности – штрафная санкция составляет от пяти до десяти тысяч рублей. Это установлено для должностных лиц.

Если информация обрабатывалась в случаях, не предусмотренных в законе, или ненадлежащим образом – размер штрафа зависит от того, кем совершено нарушение. Если это совершил гражданин – оштрафуют на сумму от тысячи до трех тысяч рублей. Для должностного лица штраф возрастает — от пяти до десяти тысяч, и для организации — от 30 до 50 тысяч рублей.

Когда не получено согласие на обработку, при условии необходимости этого акта – граждане отвечают в пределах от трех до пяти тысяч рублей. Для должностного лица сумма равно от 10 до 20 тысяч, для фирмы от 15 до 75.

Семинар «Персональные данные работника» Выходцева А.С. смотрите здесь:

Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

За персональные данные теперь штрафуют строже. Что важно проверить

С 1 июля 2021 года за неправильную работу с персональными данными работодателя будут штрафовать на 75 000 рублей. У Роскомнадзора теперь есть семь оснований для этого. Кроме того, ведомство получило право самостоятельно наказывать работодателей (ст. 13.11, п. 58 ч.

2 ст. 28.3 КоАП РФ). Раньше штрафы применяла прокуратура. Чтобы у директора не было нареканий к кадрам по поводу сохранности персональных данных, проверьте себя на предмет ошибок в работе с помощью нашего теста. Ваши ответы покажут, какими суммами может рисковать компания.

 

Когда нужно получать у работников согласие на обработку персональных данных

Проверяющие выяснят, получала ли кадровая служба согласие работника на обработку данных в случаях, когда оно требуется. Не всем понятно, когда согласие предполагается по умолчанию, а когда нужен письменный документ.

Пояснения. Поскольку сотрудник выступает стороной трудового договора, получать у него согласие на обработку персональных данных не обязательно. Но собирать информацию о сотруднике работодатель может строго в ситуациях, указанных в законе, коллективном договоре и локальных актах (п. 2, 5 ч. 1 ст.

6 Закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ, абз. 1, 2 Разъяснений Роскомнадзора от 14 декабря 2012 г., далее – Разъяснения). Например, работодатель вправе без согласия сотрудника обрабатывать персональные данные, которые получил: 
– по результатам обязательного предварительного медосмотра (ст. 69 ТК РФ, п.

3 Разъяснений);
– из документов, которые работник предъявил при заключении трудового договора (ст. 65 ТК РФ);
– от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений);
– из резюме кандидата, размещенного в сети Интернет и доступного неограниченному кругу лиц (п. 10 ч. 1 ст.

6 Закона № 152-ФЗ, абз. 12 п. 5 Разъяснений).

Не требуется согласие и на обработку данных в объеме, предусмотренном личной карточкой формы № Т-2. В том числе можно запросить у работника информацию о его близких родственниках (п. 2 Разъяснений).

Чтобы узнать дополнительную информацию о работнике, например, номер его мобильного телефона или адрес личной электронной почты, потребуется согласие. Ведь если такие сведения отсутствуют, это не мешает исполнять трудовой договор.

Поэтому, чтобы исключить спорные ситуации, рекомендуем все же при приеме на работу получить у сотрудника письменное согласие на обработку данных и включить в него информацию, которая нужна для эффективного взаимодействия с работодателем.

Пояснения. Чтобы изготовить пропуск, получите письменное согласие работника использовать его фотографию. В этом случае фото нужно, чтобы идентифицировать человека, а значит, оно относится к биометрическим персональным данным.

Их можно обрабатывать только с письменного согласия работника (ч. 1 ст. 11 Закона № 152-ФЗ).

Поэтому, если организация применяет пропускную систему и оформляет электронные пропуска, по которым можно установить личность, она должна заручиться письменным согласием каждого сотрудника на обработку фотографии1.

Если письменное согласие не получить, Роскомнадзор выдаст предписание (постановление Пятнадцатого арбитражного апелляционного суда от 14 марта 2014 г. № 15АП-22502/2013).

За обработку биометрических персональных данных без письменного согласия работодателю как минимум сделают предупреждение или оштрафуют.

Для должностных лиц штраф может составить от 10 000 до 20 000 рублей, для организаций – от 15 000 до 75 000 рублей (ч. 2 ст. 13.11 КоАП РФ).

Как хранить в кадровой службе документы, содержащие персональные данные

Много вопросов вызывает хранение личных документов работников в кадровой службе организации. Разберемся, какие есть ограничения и нужно ли проставлять на документах с персональными данными специальные грифы.

Пояснения. Работодатель нарушает закон, если собирает и хранит лишние данные о сотрудниках. Роскомнадзор может обязать компанию устранить нарушение, а с 1 июля 2021 года – объявить предупреждение или оштрафовать.

За это нарушение закон предусматривает наказание в виде предупреждения или штрафа. Для должностных лиц штраф может составить от 5000 до 10 000 рублей, для организаций – от 30 000 до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

Работодатель вправе собирать только те данные о сотруднике, которые нужны, чтобы исполнять трудовой договор или закон. Нельзя обрабатывать лишнюю информацию «на всякий случай» (п. 2 ст. 86 ТК РФ, ч. 5 ст. 5 Закона № 152-ФЗ).

Установить личность соискателя при приеме на работу можно, если он предъявит паспорт (ст. 65 ТК РФ).

Чтобы заполнить титульный лист трудовой книжки или личную карточку, достаточно попросить работника показать свидетельство о заключении или расторжении брака, рождении ребенка, военный билет и т. п.

https://www.youtube.com/watch?v=uaCg-Fh_K24

Закон не требует, чтобы работодатель оставлял копии личных документов сотрудников у себя.

Если кадровая служба хранит копии паспорта, страниц военного билета, свидетельств, то Роскомнадзор признает, что она обрабатывает избыточные персональные данные и нарушает права сотрудника.

Суды в таких спорах поддерживают надзорный орган (постановления ФАС Северо-Кавказского округа от 21 апреля 2014 г. по делу № А53-13327/2013, от 11 марта 2014 г. по делу № А53-10287/2013).

Чтобы избежать претензий Роскомнадзора, уничтожьте копии паспортов и иных документов сотрудников, хранить которые в компании закон не требует. Если понадобится уточнить какие-то сведения, попросите сотрудника показать оригинал документа.

Пояснения. Проставлять на папках с документами, которые содержат персональные данные, гриф ограничения доступа к документу не обязательно. Закон не устанавливает такого требования.

Работодатель должен исключить неправомерный или случайный доступ к персональным данным, в том числе к тем, которые хранятся на материальных носителях, то есть личным делам, трудовым книжкам, приказам и прочей кадровой документации (ч. 1 ст.

9 Закона № 152-ФЗ). Конкретные меры защиты и требования к местам хранения носителей персональных данных компания определяет самостоятельно в положении о защите персональных данных (п.

13 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687).

Обычно документы на бумажных носителях хранят в сейфах или металлических несгораемых шкафах с замками либо специально оборудованных помещениях. Доступ к документам должны иметь только сотрудники, включенные в перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ.

Кого можно привлечь к ответственности за разглашение персональных данных

Все кадровики имеют дело с персональными данными. Но доступ к ним могут иметь и другие сотрудники организации. Выясним, как утвердить список таких работников и кого можно уволить за разглашение персональных данных.

Скачать и распечатать образец

Пояснения. Работодатель должен приказом утвердить перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться персональные данные2 (образец выше). Обычно в перечень входят генеральный директор, его заместители, сотрудники кадровой службы, бухгалтерии, службы безопасности, юридического отдела и т. д.

В перечне нужно указать Ф.И.О. конкретных работников, а не список должностей. Если сотрудник уволится, в перечень вносят изменения.

Если перечень лиц, которые обрабатывают персональные данные, отсутствует или в нем указаны не Ф.И.О.

работников, а должности, Роскомнадзор выдаст предписание (постановление Четырнадцатого арбитражного апелляционного суда от 21 января 2013 г. по делу № А44-5910/2012).

Пояснения. Уборщицу нельзя уволить по инициативе работодателя за разглашение персональных данных других сотрудников, так как о размере зарплат она узнала не в связи со своими обязанностями. Функционал уборщицы не предполагает работы с персональными данными, и она не подписывает обязательство их не разглашать.

Сотрудника, который разгласил персональные данные другого работника, можно уволить по инициативе работодателя (подп. «в» п. 6 ч. первой ст. 81 ТК РФ). Но это допустимо, если одновременно выполняются два условия (п. 7 ст. 86 ТК РФ, п.

43 постановления Пленума Верховного суда РФ от 17 марта 2004 г. № 2):– такие сведения работник получил в связи с исполнением им трудовых обязанностей;

– сотрудник подписал обязательство о неразглашении персональных данных (образец ниже).

Скачать и распечатать образец

1. Если вы обрабатываете только те данные, которые нужны для исполнения трудового договора, это законно и без согласия сотрудника. Однако возможны споры о составе таких данных, поэтому безопаснее заручиться согласием сотрудника в письменном виде.

2. Не храните в кадровой службе копии паспортов и иных документов сотрудников. Чтобы уточнить какую-то информацию, просите сотрудника показать необходимый документ.

3. Утвердите перечень работников, которые обрабатывают персональные данные, и получите у них обязательство не разглашать такую информацию. Иначе вы не сможете привлечь их к ответственности за утечку персональных данных.

Обработка персональных данных сотрудника — сроки и виды

Кадровики регулярно сталкиваются с персональными данными нанимаемых в компанию сотрудников и уже трудоустроенного штата. Закон предъявляет определённые требования к обработке подобной информации и её сохранению в архивах.

За нарушение норм законодательства должностное лицо может ожидать привлечение к соответствующей ответственности, именно поэтому специалисты рекомендуют тщательно ознакомиться с правилами работы с личными сведениями о гражданах.

Что относится к персональным данным работника?

Любые сведения о гражданине, имеющие к нему прямое или косвенное отношение, считаются персональными данными. Определение этого понятия представлено в 3 статье ФЗ № 152 от 2006 года 27 июля.

Таким образом, к личной информации о человеке относят:

• адрес его проживания;
• ФИО;
• дату рождения;
• семейное положение;
• полученное образование;
• реквизиты паспорта;
• занимаемую должность (профессию);
• уровень дохода;
• наличие какой-либо собственности;
• социальное положение в обществе;
• и т. п.

Должностное лицо, из-за которого произошло разглашение личных сведений о сотруднике, привлекаются к административной, дисциплинарной или уголовной ответственности.

Порядок обработки персональных данных сотрудника

Под обработкой сведений о работнике понимается комплекс мероприятий, установленный на законодательном уровне и включающий в себя получение данных о гражданине, их проверку, передачу, хранение, накопление, уничтожение и другие способы применения имеющейся информации.

https://www.youtube.com/watch?v=mBPc_Rf8Rx0

Эта процедура необходима в следующих случаях:

• при найме лица на должность;
• при продвижении служащего по карьерной лестнице;
• при выплате сотруднику вознаграждения за труд;
• при осуществлении контроля за выполненной работой и её качеством;
• и т. д.

Другими словами, под обработкой понимается осуществление любых действий с личной информацией.

При осуществлении обработки необходимо соблюдать определённые требования, зафиксированные в 86 статье ТК РФ.

• Во-первых, данная процедура осуществляется исключительно при наличии для этого оснований и только с конкретной целью.
• Во-вторых, передача личных сведений третьим лицам без письменного разрешения самого лица недопустима.
• В-третьих, персональную информацию необходимо получать непосредственно от самого гражданина. Запрос сведений из иных источников должен сопровождаться уведомлением сотрудника.

Кроме этого, получение специальных персональных данных (о политических взглядах, отношении к религии и т. д.) по закону не допускается, так как эта информация не должна влиять на решение руководства о найме гражданина или его дальнейшем продвижении по карьерной лестнице.

Меры защиты личных сведений о сотрудниках должны быть зафиксированы в локальных актах предприятия. Сами работники обязаны быть ознакомлены с данными документами под роспись (это могут быть инструкции, положения и т. п.).

Получать данное согласие не требуется в случаях, предусмотренных законом (например, при оформлении алиментных выплат, при передаче сведений третьим лицам, если речь идёт о сохранении жизни или здоровья гражданина и т. д.).

Виды персональных данных работника

Выделяют два типа документации, формирующей личные сведения о гражданине. К первой разновидности относятся бумаги, на основании которых происходит найм сотрудника на ту или иную должность, то есть паспорт лица, СНИЛС, военный билет и т. д.

Второй тип документации формируется непосредственно руководителем работника (например, приказ о назначении на должность, расчётные документы и т. д.).

На основании этих бумаг выделяют различные виды персональных данных, ознакомиться с которыми можно с помощью приведённой ниже таблицы.

Способ классификации	Разновидности данных	Характеристика
По направлению	Обычные (иначе общие)	Большая часть личной информации о человеке (его фамилия, имя, отчество, гражданство, полученное образование, место работы и т. д.).
Специальные	Особая категория сведений о человеке (например, его политические убеждения, принадлежность к той или иной религии, состояние здоровья, национальность, наличие или отсутствие судимости, семейная и личная жизнь и т. д.).
По степени доступности данных	Конфиденциальные	Информация, не подлежащая разглашению по закону и при отсутствии соответствующего согласия самого гражданина (например, результаты медицинского осмотра).
Общедоступные	Сведения о человеке, находящиеся в общем доступе в соответствии с нормами российского законодательства или представленные для ознакомления третьих лиц в связи с письменным согласием самого гражданина.
По содержанию	Биометрические	Сведения, способные охарактеризовать человека для определения его личности (то есть его физиологические особенности). К таким данным относятся отпечатки пальцев, почерк, ДНК и т. п.
Не биометрические	Прочие данные, не относящиеся к биометрическим.
По причине появления (по документам)	Появившиеся до начала трудовой активности	Сведения, содержащиеся в паспорте гражданина, его свидетельстве о рождении, военном билете, документах о полученном образовании, СНИЛС и т. д.
Появившиеся в результате трудовой деятельности	К такой информации относятся записи о приёме лица на работу, его переводе в другое отделение, повышении, увольнении, предоставлении отпуска или больничного, уровне получаемого дохода, поощрениях и т. д.

Кроме этого, к персональным сведениям относится и информация о родственниках гражданина, например, о составе его семьи, месте проживании родных и т. д. Семейное положение – также конфиденциальные данные (факт нахождения в браке, наличие детей и их возраст, состояние здоровья членов семьи, наличие иждивенцев и т. п.).

Срок хранения персональных данных сотрудника

Сведения о работнике должны быть приобщены к его личному делу. В соответствии с 87 статьёй ТК РФ, руководитель самостоятельно определяет порядок хранения и применения данных о сотруднике, зафиксированный в локальных нормативных актах предприятия. При этом порядок должен отвечать требованиям, установленным российским законодательством.

В соответствии с 22.1 статьёй ФЗ № 125 от 2004 года 22 октября, документация о самом гражданине (например, его заявление о согласии на обработку данных, копии приказов и т. д.) должна храниться в течение:

• 75 лет, если бумаги были созданы до 2003 года;
• 50 лет, если документы были оформлены позднее этого периода.

При защите конфиденциальности информации личного характера важно уделить внимание не только бумажной документации, но и сведениям на электронных носителях.

Порядок их хранения аналогичен описанному выше.  Электронные документы предписано сохранять в течение как минимум 5 лет (по налоговому учёту бумаги не уничтожаются на протяжении 4 лет).

Особенности хранения

Документация на бумажном носителе подлежит хранению в специальных сейфах (таким образом бумаги сохраняются от случайной порчи или потери).

В электронном виде файлы с личными сведениями хранятся в персональном компьютере сотрудника, уполномоченного заниматься обработкой данных, или руководителя предприятия (т. е. у генерального директора).

После увольнения сотрудника его личное дело продолжает находиться у кадровиков до окончания года (оперативное хранение может продолжаться в течение 1–3 лет).

После этого кадровая служба должна заняться архивно-технической обработкой и направить личные дела бывших работников в архив предприятия. По общим правилам отсчёт периода хранения начинается с первого января года, в котором документ был передан в архив.

Не нашли ответа на свой вопрос?
Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас или заполните форму онлайн:

+7 (499) 350-80-69 (Москва)

+7 (812) 309-75-13 (Санкт-Петербург)

Это быстро и бесплатно !

🎦 Видео