Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).
В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.
Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.
Что включают персональные данные работника
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.
Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?
На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.
Положение о персональных данных работников: структура документа
Рассматриваемый документ содержит локальные нормы, определяющие:
- цели и задачи фирмы при работе с персональными данными;
- перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
- описание операций с данными, практикуемых компанией;
- способы доступа к данным, используемые в фирме;
- обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
- права сотрудников фирмы на приобретение санкционированного доступа к данным;
- правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.
Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:
- устанавливающим общие положения документа;
- фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
- определяющим перечень ключевых операций с персональными данными;
- регламентирующим осуществление соответствующих операций;
- определяющим порядок доступа работников фирмы и иных лиц к данным;
- устанавливающим обязанности сотрудников, участвующих в операциях с данными;
- устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
- определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.
Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).
Что делать с персональными данными кандидата
Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.
В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.
Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.
Но есть и исключения, когда такое согласие не требуется:
- если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
- при самостоятельном размещении резюме в интернете.
В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.
Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.
Что делать, если персональные данные собираются с помощью анкеты
Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
А во-вторых, она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Это значит, что:
- в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
- в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
- анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
- в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.
Что делать с данными кандидата, которого не взяли на работу
В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.
Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.
Направление запросов на прежние места работы
На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.
Для этого ему обязательно нужно заручиться согласием соискателя.
Документы для работы с персональными данными
Для того, чтобы обезопасить себя во время проверки сохранности персональных данных, в компании должны быть следующие документы, которые можно будет предъявить по требованию проверяющих:
- положение о персональных данных;
- приказ о назначении ответственных за работу с персональными данными;
- приказ о назначении ответственных за обеспечение безопасности персональных данных;
- заявления работников о согласии на обработку персональных данных.
Положение о персональных данных
Во исполнение законодательства РФ, для обеспечения защиты прав и свобод работника каждая организация обязана разработать и принять положение о персональных данных сотрудников (далее – Положение). Этот документ определяет, какие именно сведения подлежат обработке и хранению на данном предприятии.
Положение относится к управленческой документации и утверждается приказом по организации. Его содержание должно быть разработано в соответствии с Конституцией РФ, Гражданским и Трудовым кодексами РФ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
В Положении должны содержаться следующие разделы:
- Общая информация.
- Основные понятия и состав персональных данных работников.
- Сбор, обработка и защита данных.
- Передача и хранение данных.
- Доступ к персональным данным работников.
- Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.
С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.
Перечень обрабатываемых данных сотрудников
Далее потребуется утвердить документ, содержащий перечень персональных данных, которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.
В этом перечне должны быть:
- заявление о приеме на работу;
- анкета сотрудника;
- личная карточка;
- личное дело;
- трудовой договор;
- приказы;
- трудовая книжка;
- материалы аттестационных комиссий.
Если в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т. п.), то эти отчеты тоже нужно включить в перечень. Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).
Обратите внимание
Штрафы начисляются за одно нарушение, а там, где система защиты персональных данных начисто отсутствует, проверяющая комиссия чаще всего сталкивается с массовыми нарушениями, вследствие чего общая сумма штрафования становится довольно внушительной.
Следующий этап работы – подготовка и утверждение списка лиц, допущенных к работе с персональными данными. Этот документ утверждается приказом руководителя и доводится под подпись до всех указанных в нем сотрудников. Кстати, приказ руководителя о назначении ответственного за работу с персональными данными и обеспечение их защиты – первое, что захотят увидеть проверяющие. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.
Ведомством, полномочным контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно – Роскомнадзор). Все материалы по тем проверкам, где обнаружены нарушения, ведомство передает в прокуратуру.
Когда ознакомить нового сотрудника с Положением о персональных данных
Ознакомьте будущего сотрудника с Положением о персональных данных до подписания трудового договора (ст. 68 ТК РФ). Подтвердить, что работник прочитал Положение, можно его подписью:
- в тексте трудового договора;
- в листе ознакомления с Положением о персональных данных;
- в журнале ознакомления с локальными актами.
Положение о персональных данных – это локальный нормативный акт, который обязательно должен быть в организации (ст. 87 ТК РФ). Иначе компанию могут привлечь к административной ответственности (ст. 5.27 КоАП РФ).
Сбор и обработка персональных данных при приеме на работу
Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.
На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.
Порядок хранения персональных данных работников
Должностное лицо обязано соблюдать специальное положение, в котором регламентируется обработка, сохранение и защита личной информации, личных дел сотрудников. Правила и порядок эксплуатации должны соблюдаться стороной работодателей. Данные лица должны обеспечить выполнение следующих функций:
- составление и хранение первичной документации, которая издается в унифицированной форме;
- сохранность бумаг, в которых ведется учет рабочих кадров;
- хранение документации, в которой учитывается специфика распределения рабочего времени;
- сохранность пакета документов, в котором ведется расчет об оплате труда рабочему персоналу.
Порядок и срок сохранения личной информации гражданских служащих определяет трудовое законодательство, а также специальное ведомственное положение.
Оформление зарплатной карты и персональные данные работника
Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.
При этом важно, чтобы:
- перечень персональных данных строго соответствовал тому, что передается в банк;
- была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
- договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
- у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
- соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).
Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.
В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.
Что значит обработка персональных данных
Согласно ст. 3 закона о персональных данных обработка личных данных — совокупность действий, связанных с личными данными. Операции могут совершаться с применением средств автоматизации или без них. Любая деятельность с использованием ПД охватывает все процессы и стадии работы с ними, а это: сбор, систематизация, запись, хранение, накопление, конкретизация (изменение, обновление), извлечение, применение, делегирование (распространение, предоставление, доступ), блокирование, обезличивание, ликвидация данных.
Работодатели, согласно закону о персональных данных, обязаны соблюдать требования к хранению персональных данных. Чтобы исключить все случаи, которые могут привести к судебным разбирательствам, следует получать от каждого претендента на должность письменное согласие на обработку его данных.
Законом предусмотрены некоторые случаи, при которых письменная форма согласия обязательна к применению (часть 4 ст. 9 закона о ПД). Это относится к таким ситуациям:
1) При передаче личных данных соискателя от третьей стороны (п. 3 ст. 86 Трудового кодекса РФ). В такой ситуации работника необходимо заблаговременно предупредить об этом и взять с него письменное согласие на обработку и хранение информации (п. 3 ст. 86 Трудового кодекса РФ).
В бланке, где соискатель дает свое согласие, нужно указать (п. 3 ст. 86 Трудового кодекса РФ):
- цель получения личных данных соискателя у третьих лиц;
- предполагаемые ресурсы приобретения информации (лица, у которых запрашиваются данные);
- методы получения данных, их основные особенности;
- вероятные последствия отказа работодателя в получении личных данных соискателя у третьего лица. При отказе работника изучить уведомление о возможном получении его личных данных у другого лица разумным будет составить соответствующий акт.
Если соискатель решил отозвать согласие на обработку своих личных данных, он имеет на это полное право (часть 2 ст. 9 закона о персональных данных).
Работа с его личными данными в такой ситуации возможна только при наличии веских оснований. Они указаны в п. 2 — ч. 11 ст. 1, ч. 2 ст. 10, ч. 2 ст. 11 закона о персональных данных (ч. 2 ст. 9 закона о ПД).
Существует и такая информация, которую работодателям запрещено требовать у третьих лиц, даже если соискатель дает согласие. Та, что не связана с перечисленными в пункте 1 статьи 86 Трудового кодекса РФ задачами.
2) При передаче личных данных соискателя третьим лицам, кроме ситуаций, когда это нужно для предотвращения угрозы жизни и здоровью работника (абзац 2 статьи 88 Трудового кодекса Российской Федерации).
3) Для обработки отдельных категорий личных данных работника, напрямую связанных с вопросами трудового характера (п. 4 ст. 86 Трудового кодекса РФ, п. 1 ч. 2 ст. 10 закона о персональных данных). К ним можно причислить информацию о расе, национальности, религии, политических взглядах, философских убеждениях, показателях здоровья, интимных отношениях.
В том случае, если работник признан недееспособным, письменное разрешение на обработку его данных дает его законный представитель (опекун, родитель) (ч. 6 ст. 9 закона о персональных данных). А в случае ухода из жизни работника такое согласие оформляют его наследники, если, конечно, оно не было подписано самим работником при его жизни (ч. 7 ст. 9 закона о персональных данных).
Не при всех обстоятельствах требуется разрешение работника на обработку его личных данных. Так, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 закона о персональных данных, абзац 1 разъяснений Роскомнадзора):
- из документов (материалов), предоставляемых работником при оформлении трудового договора;
- по результатам обязательного предварительного медосмотра состояния здоровья (ст. 69 Трудового кодекса РФ, п. 3 разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, которые касаются обработки личных данных работников, соискателей на замещение вакантных должностей, а также лиц, состоящих в кадровом резерве», далее — разъяснения Роскомнадзора от 14.12.2012);
- в количестве, установленном специальной формой № Т-2, включая личные данные близких родственников, и в других случаях, предусмотренных законодательством РФ (взыскание алиментов, получение доступа к гостайне, оформление соцвыплат) (пункт 2 разъяснений Роскомнадзора от 14.12.2012);
- от рекрутингового агентства, работающего от имени соискателя (абзац 12 п. 5 разъяснений Роскомнадзора от 14.12.2012);
- от лица самого человека, который выложил свою анкету в Интернете во время поиска работы, сделав ее доступной всем (пункт 10 часть 1 статьи 6 федерального закона от 27.07.2006 № 152-ФЗ, абзац 12 пункт 5 разъяснений Роскомнадзора от 14.12.2012);
то работодатель с разрешения соискателя может передать на обработку его личные данные другому лицу (часть 3 статьи 6 закона о ПД, абзац 2 пункт 5 разъяснений Роскомнадзора от 14.12.2012). Несмотря на это, работодатель все равно остается ответственным перед соискателем за действия третьего лица (часть 5 статьи 6 закона о ПД).
Размещение «черных списков» сотрудников на сайте
Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.
Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.
В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.
Каким должно быть согласие на обработку персональных данных
Роскомнадзор в своих рекомендациях формулирует следующие требования:
- Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
- Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
- Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.
Общие положения
1.1. Настоящее Положение регулирует отношения, связанные с обработкой персональных данных, включающие в себя производимые Работодателем действия по получению, хранению, комбинированию, передаче персональных данных Работника или иному их использованию, с целью защиты персональных данных Работника от несанкционированного доступа, а также неправомерного их использования и утраты.
1.2. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» N 149-ФЗ от 27.07.2006 года, Федеральным законом «О персональных данных» N 152-ФЗ от 27.07.2006 года и другими определяющими случаи и особенности обработки персональных данных нормативно-правовыми актами.
назад к оглавлению
Оформление доски почета
Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.
Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.
Для использования фото сотрудника тоже придется заручиться согласием.
Персональные данные для пропуска
В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.
В данном случае нет необходимости в получении согласия на обработку персональных данных, если:
- компания самостоятельно осуществляет пропускной режим;
- если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.
В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.
Как собирать, систематизировать и хранить персональные данные
Шаг 1. Выпустить положение о персональных данных. Этого требуют и федеральный закон, и здравый смысл. В локальном акте нужно прописать все правила хранения и обработки данных.
Шаг 2. Утвердить положение. Для этого нужно выпустить соответствующий приказ с подписью руководителя и ознакомить с ним всех сотрудников. Сотрудники должны расписаться в специальном журнале или ведомости.
Шаг 3. Назначить специалиста, ответственного за персональные данные. Вероятнее всего, это будет сотрудник кадровой службы. Желательно, чтобы работа с персональными данными была указана в его трудовом договоре. Если же договор уже составлен, можно выпустить дополнительное соглашение к нему. В том же приказе нужно установить сотрудников, которые будут иметь доступ к персональным данным. Все упомянутые лица должны подписать обязательство о неразглашении данных.
Шаг 4. Собрать со всех сотрудников письменные согласия на обработку персональных данных. В письменном согласии должны быть перечислены конкретные данные и цели их использования. Цели должны сводиться исключительно к поддержанию трудового процесса.
Шаг 5. Хранить данные в строгом порядке. Данные могут храниться и в электронном виде, и в бумажном. Они должны быть абсолютно недоступными для третьих лиц, своевременно пополняться и при необходимости корректироваться.
Шаг 6. Обратиться в Роскомнадзор. Этот пункт не обязателен, если вы:
- обрабатываете информацию без использования специализированного ПО и баз данных (то есть если массив данных оператор обрабатывает вручную на ПК или на бумаге);
- обрабатываете данные только своих сотрудников и только в целях составления и ведения трудовых договоров (не более);
- оформили договор с физическим лицом как подрядчиком, поставщиком или нештатным специалистом;
- однократно пропустили постороннего человека, не являющегося вашим сотрудником, на территорию предприятия (например, для собеседования).
Что делать с персональными данными уволенных сотрудников
Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.
Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.
Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.
Если я нарушаю закон
Работодатели массово стали получать письма из Роскомнадзора с предупреждением о том, что при проверке компании могут получить серьезные штрафы за нарушение норм закона от 27.07.2006 № 152-ФЗ (далее — Закон). По нему работодатель обязан гарантировать защиту такой информации от противоправного доступа и использования третьими лицами. Положение о работе с персональными данными работников помогает решить эти задачи.
С 23 февраля 2021 года вступило в силу Постановление Правительства от 13.02.2019 № 146, которым утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Согласно документу, плановые проверки будут проводиться раз в 2-3 года, а перечень компаний, подлежащих контролю можно будет заранее увидеть на сайте Роскомнадзора. Как и в случае с другими видами контроля, о запланированном визите инспекторы должны будут предупредить. Если плановая проверка, то известить о ней должны за 3 рабочих дня, а если внеплановая — за 24 часа.
За нарушение Закона предусмотрена дисциплинарная, материальная, административная и уголовная ответственность. Контролирующие органы могут привлечь к административной ответственности по ст. 13.11 и 13.14 КоАП, штрафы составляют:
- для должностных лиц: от 500 до 1000 рублей;
- для организации: от 5000 до 10 000 рублей;
- для должностных лиц, в связи с исполнением служебных или профессиональных обязанностей: от 4000 до 5000 рублей.
Наиболее распространенными нарушениями, по данным инспекторов, являются обработка персоданных без согласия их владельца либо с нарушениями, невыполнение требования об уничтожении личной информации, нарушение условий хранения таких сведений.