Можно ли хранить копии документов работника (например, паспорта) в его личном деле?

О ведении личных дел

Работодатель обязан вести личные дела сотрудников, если это прямо предписано нормативными актами. Например, такое требование установлено для органов исполнительной власти. У тех компаний, кто не попадает под действие таких актов, обязанности вести личные дела сотрудников нет. Однако иногда работодатели начинают их формировать по своей инициативе. В таком случае они сами составляют перечень документов, которые нужно включить в личное дело. Но при этом важно соблюдать закон о конфиденциальности персональных данных.

Итак, по той или иной причине в компании решено формировать личные дела работников. Прежде всего нужно составить локальный нормативный акт, который определит важные моменты и правила. Это может быть стандарт или положение. В нем целесообразно отразить все нормы оформления личных дели и состав документов.

Главное правило: не стоит собирать лишнюю информацию о сотруднике про запас — только то, что действительно важно. Иначе будут нарушены принципы работы с персональными данными.

Какое бывает мошенничество с копией паспорта

Как правило, бывает три варианта развития события, если паспортные данные попали в недобрые руки:

Кредиты и микрозаймы

Ни банковские организации, ни уважающие себя МФО по копии паспорта кредит никогда не оформят, однако некоторые коллекторы выдать кредит посредством сети Интернет только по паспортным данным — могут.

В любом случае это будет небольшая сумма, до 30 000 рублей, плюс процент (обычно 365% годовых).

С учётом внесённых ФЗ от 27.12.2018 N 554-ФЗ изменений в ФЗ «О потребительском кредите (займе)» максимальный размер начисленных сверху неустоек и штрафов по микрозаймам с 01 июля 2019 года не должен превышать двукратную сумму займа, а с 01 января 2020 — полуторакратную.

Несмотря на относительно небольшую сумму займа и проценты, выплачивать чужой заём любому человеку будет как минимум неприятно. Не говоря уже о том, что кредитов может быть несколько в разных МФО.

Более подробно о способах мошенничества в сети с целью заключения фиктивных кредитных договоров или микрозаймов читайте по ссылке.

2. Сделки с имуществом

Паспортные данные могут использоваться для подделки любого рода юридически значимых документов.

Вопрос только в фантазии мошенника.

Вы можете не знать о том, что являетесь собственником нескольких вилл в Испании, оформленных мошенническим способом, и точно таким же способом проданных от вашего имени.

А решать проблемы придется именно вам. При этом, пострадаете не только вы, но и несчастный покупатель, введенный в заблуждение тем же мошенником.

Так, например, 03 июля 2021 года Тушинский районный суд г. Москвы рассмотрел гражданское дело № 2-2424/2018. Гражданин Пчелин Д.В. являлся собственником квартиры, сдавал её в аренду, пока не узнал, что квартира была продана.

Некто с паспортом Пчелина Д.В. заключил от его имени договор купли-продажи на квартиру с Остроуховой Е.В. в присутствии нотариуса, у которого сделка не вызвала никаких сомнений. Сам Пчелин узнал о состоявшейся сделке только спустя месяц, когда, не получив очередной арендной платы, пришел проверить квартиру. Судебная экспертиза подтвердила, что подпись в договоре купли-продажи была выполнена не Пчелиным, в результате чего суд, ссылаясь на отсутствие у Пчелина волеизъявления на отчуждение квартиры, признал недействительным договор купли-продажи и применил последствия недействительности сделки. Гражданка Остроухова Е.В. осталась и без квартиры, и без денег.

3. Оформление юридического лица или ИП

Согласно ст. 12 Федерального закона от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» для регистрации ИП или ЮЛ в налоговый орган предоставляется копия документа, удостоверяющего личность заявителя. То есть копия паспорта. Как правило, данная копия должна быть нотариально заверена, но не в случае, если заявление и пакет документов предоставляется лично заявителем или если в ФНС есть «свой человек».

Так, по поддельному паспорту оформить ООО или ИП можно с легкостью.

Чем грозит оформление ИП или ООО?

Обычно долгами по уплате налогов (для ИП также долгами в ПФР и ФСС), долгами иным юридическими лицами или ИП по различным гражданско-правовым договорам, и даже уголовной ответственностью в случае выявления в деятельности ООО или ИП противоправных действий.

Чаще всего фирмы-однодневки создаются для нелегального вывода денежных средств из других организаций. Это называется «отмывание денежных средств», что тоже не сулит ничего хорошо учредителю компании.

Реже, но всё же встречаются случаи, когда паспортные данные использовались для ставок и игр на деньги в Интернете, оформления «мертвых душ» в компаниях для различных махинаций, аренды каршеринга, мошенничества в Интернете с физическими лицами, покупки SIM-карт и т.д.

Защита личных сведений

О работнике можно собирать только ту информацию, которая отвечает определенным целям обработки персональных данных. Иначе организация может быть оштрафована по статье 13.11 КоАП на сумму от 30 до 50 тыс. рублей. Должностное лицо получить штраф в размере 5-10 тыс. рублей, а гражданин — в сумме 1-3 тыс. рублей.

Как же правильно поступать с документами сотрудника? Обратимся к статье 65 Трудового кодекса. В ней сказано, что документы предъявляются физическим лицом при приеме на работу. Иначе говоря, документы должны быть предъявлены работодателю, после чего они возвращаются сотруднику. При этом в ТК РФ не говорится о том, что специалист работодателя вправе снимать с них копии.

Итак, без согласия работника кадровый специалист может сделать лишь следующее: взять документы сотрудника и внести информацию из них в его личную карточку Т-2.

На практике работодатели часто любят собирать разную информацию о своих сотрудниках и хранить копии их дипломов, СНИЛС, паспортов. Однако все это все эти документы содержат персональные данные работников, которые защищаются законом. Собирать личную информацию, которая соответствует законной цели. Причем цель должна быть вполне конкретной. Например, нельзя хранить персональные данные сотрудника на тот случай, если вдруг их запросит прокуратура или Служба судебных приставов. Пока такого запроса нет, эта информация работодателю не нужна. Соответственно, если он заранее ее собрал и хранит, тем самым он нарушает закон о защите персональных данных.

Важно! Обработка персональных данных гражданина допустима, если это необходимо, чтобы исполнить договор, стороной которого он является. Это сказано в части 1 статьи 6 закона о персональных данных от 27 июля 2006 года № 152-ФЗ.

Как безопасно собирать и хранить информацию о сотрудниках

Документы, которые содержат персональные данные сотрудников, то есть все кадровые документы, надо хранить так, чтобы защитить конфиденциальную информацию. Есть несколько запретов, из которых получим правила хранения документов.

Запрет 1.

Персональные данные нельзя уничтожать раньше времени. Поэтому вы храните документы по кадрам в пределах установленных сроков. Уничтожить документ можно только после того, как истечет установленный срок хранения и только после того, как провели экспертизу ценности документов.

Запрет 2.

Персональные данные нельзя передавать лицам, которые не имеют к ним доступа и не давали обязательство о неразглашении. Поэтому вы храните кадровые документы в закрытых помещениях, запертых шкафах, сейфах, исключаете доступ к ним посторонних. Все сотрудники компании, которые по должностным обязанностям получают доступ к кадровым документам, должны дать обязательство о неразглашении информации и использовать ее только в служебных целях.

Запрет 3.

Персональные данные нельзя получать у третьих лиц без согласия работника. Поэтому вы храните только те кадровые документы и их копии, которые получили от самого работника или с его письменного согласия.

Сотрудники предъявляют документы при приеме на работу, присылают их по почте, прикладывают к заявлениям. Принимайте на хранение только те документы, которые нужны для трудовых отношений. Если снимаете копию, то ее надо заверить в тот момент, когда видите оригинал.

Чтобы обеспечить точность и актуальность персональных данных, всегда сверяйтесь с оригиналом. Используйте копию документа только для определенных целей. Когда достигнете цели, уничтожьте копию.

Запрет 4.

Персональные данные нельзя испортить или потерять. Поэтому вы создаете специальные условия, чтобы обеспечить сохранность документов длительное время. Идеально, когда в компании есть оборудованный архив.

Запрет 5.

Персональные данные нельзя хранить дольше, чем этого требуют цели их обработки. Поэтому вы собираете только ту информацию, которая нужна вам для трудовых отношений, и храните ее, пока не достигнете цели, ч. 5 ст. 5 Закона о персданных.

Самый надежный способ избежать обвинения Роскомнадзора — не вести личные дела или избавиться от них, если они у вас есть.

Еще один вариант: собирать информацию о сотрудниках, беречь ее от внимания посторонних, но не оформлять папки с копиями документов как личные дела и не вносить их в номенклатуру дел. Речь идет именно о копиях всех документов, которые вы собираете в одной папке по работнику для своего удобства.

Но если вы фактически формируете личные дела и попытаетесь это скрыть, проверяющий это выяснит. Например, потому что не найдет документы сотрудника в других папках, поскольку вы подшили их в личное дело, или увидит строку «Личные дела» в номенклатуре дел.

Если работник дал согласие

Казалось бы, проблема решается просто — можно взять с работника документ о том, что он разрешает обработку своей информации. Но на самом деле этого недостаточно. Даже если сотрудник согласился, это не значит, что появилась законная конкретная цель для обработки данных.

Важно! Работодателям нужно запомнить простое правило: если нет цели, то нет и права хранить копии личных документов сотрудника.

В упомянутом законе определены принципы защиты персональных данных. Суть в следующем:

1. Должны стоять конкретные, заранее определенные цели, в соответствии с которыми собираются личные данные человека. Как только эти цели достигнуты, обработка его персональных данных должна прекращаться.
2. Нельзя собирать информацию, которая не соответствует упомянутым выше целям.
3. Обработке подлежат только те сведения, которые соответствуют указанным целям.
4. Содержание и объем обрабатываемых данных должен соответствовать цели обработки.

О согласии на обработку персональных данных сказано в статье 9 закона. Оно должно содержать опять же цель обработки, а также перечень действий, которые с этими данными могут быть совершены.

Вывод: хранить копии документов сотрудников в кадровом делопроизводстве можно только в том случае, если это нужно для конкретных целей.

Например, личные сведения могут быть собраны для размещения на сайте работодателя (в разделе «Наши сотрудники») или для оформления полиса добровольного медицинского страхования. Пример избыточной цели — хранение личных данных на случай поступления запроса из государственных органов.

О копии паспорта

В копии паспорта есть не только имя, дата рождения и прочая информация — она может являться источником биометрических персональных данных. В частности, на фото можно заметить особенности внешности человека. Такая информация охраняется законом. Соответственно, хранить копии паспортов работников нужно, во-первых, при наличии адекватных целей а, во-вторых, взяв с них согласие на это.

Какие документы можно хранить в личном деле с согласия сотрудника

Отвечая на вопрос, что должно храниться в личном деле сотрудника в 2021 году, стоит упомянуть и медицинские книжки работников, которые некоторые работодатели хранят в ЛД.

РЕКОМЕНДОВАННАЯ ВАМ СТАТЬЯ:

Пенсионный возраст в России с 2021 года

Действительно, если должность сотрудника предполагает его контакт с пищевыми продуктами, детьми или же, например, медикаментами – наниматель, согласно действующему законодательству, имеет право потребовать этот документ. Однако, его хранение становится возможным исключительно после получения от работника согласия на обработку его персональных данных.

Это же правило касается и следующих документов:

• аттестационных листов;
• дипломов, справок и других бумаг об образовании;
• справок об отсутствии судимости или её наличии;
• документов о повышении квалификации;
• характеристик с образовательных заведений, а также прошлых мест работы.

Напомним также, что трудовые книжки работников необходимо хранить отдельно от остальной кадровой документации. В большинстве фирм для этого используются надёжные сейфы, доступ к которым имеют только кадровики.

Как правильно вести личное дело каждого сотрудника

В любом случае, каждый наниматель должен понимать, что ведение личного дела сотрудника – не разовое, но регулярное занятие. Ведь со временем информация и документы в ЛД должны будут обновляться. Делать это можно лишь заручившись письменным заявлением о согласии от самого работника и вносить какие-либо бумаги, впрочем, как и удалять их из дела – кадровик не имеет права!

При этом, выдача рассматриваемого личного дела может быть осуществлена только по приказу руководителя фирмы. Это же правило распространяется и на самого сотрудника, на которого ЛД заведено. Вместе с этим, каждый сотрудник имеет законное право ознакомиться со своим ЛД в любое удобное для него время, но выносить его из кабинета кадровика – только с разрешения нанимателя.

В том случае, если доступ к папке запрашивает сторонняя организация – её сотрудники должны подать на это официальный запрос, а передача документов станет возможной лишь после получения резолюции работодателя и составления акта в 2 экземплярах.

Подведем итоги

Итак, если работодатель планирует вести личные дела своих сотрудников, то просто приложить к ним копии документов неправомерно. Для этого необходимо, чтобы:

• было законное основание (правовой акт или внутренний документ);
• была определенная, законная и адекватная цель обработки информации;
• было письменное согласие работника на обработку его персональных данных;
• в согласии была указана цель обработки.

Эти выводы подтверждаются судебной практикой. В частности, постановлениями Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/2013 по делу № А53-12557/2013 и ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013.

Список документов, входящих в личное дело сотрудников в 2021 году

Для того чтобы не нарушать законодательство России каждому работодателю рекомендуется лично ознакомить кадровиком со списком бумаг, которые должны быть в ЛД каждого работника.

РЕКОМЕНДОВАННАЯ ВАМ СТАТЬЯ:

Характеристика с места работы, образец и пример оформления

В данный перечень документов в 2021 году входят такие основные бумаги как:

1. трудовой договор, подписанный сотрудником, а также сопутствующие ему дополнительные соглашения (если таковые имеются);
2. приказы о наложении взысканий или же поощрениях от начальства;
3. договор об индивидуальной материальной ответственности работника, если его должность предусматривает наличие данного документа;
4. подписанное работником соглашение о неразглашении сведения, которые являются тайной фирмы;
5. акты нарушения трудовой дисциплины;
6. объяснительные, а также докладные записки;
7. приказ о приёме на работу.

Каждая дополнительная справка подшивается кадровиком в папку в строго хронологическом порядке, после чего он составляет опись документов (это обязательный пункт, несоблюдение которого может привести к штрафным санкциям).

Стоит отметить, что документы, хранящиеся в личном деле сотрудника, для проверки трудовой инспекцией – должны обязательно дополняться подписанным им согласием на обработку его персональных данных.

О согласиях на обработку персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.

Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.

Например, сообщить о необходимости проверки конфликта интересов.

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.

Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.

Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет.

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.

Договоры поручения на обработку персональных данных

Является ли провайдер облачных услуг оператором?

Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.

Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?

Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.

Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?

Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.

Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.

Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке?

Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.

Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.

Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?

Действующим законодательством такая обязанность не предусмотрена, поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица.

Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.