Где хранить согласие на обработку персональных данных работника

Опубликовано: 07.05.2025


Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.


Программа разработана совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Возможно ли хранить в личном деле работника копии документов, являющихся персональными данными (паспорта, ИНН, СНИЛС, диплома, и т.д.), если работник в заявлении на обработку персональных данных дал свое согласие на хранении в его личном деле вышеперечисленных документов?


Рассмотрев вопрос, мы пришли к следующему выводу:
Хранение в личных делах работников копии паспорта, ИНН, СНИЛС, документов об образовании и других документов, содержащих персональные сведения, возможно, если работодатель обеспечил одновременное соблюдение определенных условий.

Обоснование вывода:
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу - субъекту персональных данных, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", далее - Закон N 152-ФЗ).
Ни нормами Трудового кодекса РФ, ни нормами Закона N 152-ФЗ не установлено прямого запрета на копирование работодателем документов, предоставляемых работником при приеме на работу и в процессе трудовой деятельности, а также на хранение работодателем копий этих документов. Однако, поскольку копии паспортов сотрудников и членов их семьи, свидетельств о браке, свидетельств о рождении детей содержат в себе информацию, относящуюся к определенным физическим лицам, обработка такой информации подчиняется требованиям Закона N 152-ФЗ.
Статья 86 ТК РФ предоставляет работодателю право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Согласно ч. 1 ст. 9 Закона N 152-ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. По смыслу разъяснений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.12.2012 "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" конкретным и информированным является такое согласие субъекта персональных данных, которое содержит не только информацию, позволяющую однозначно сделать вывод об объеме обрабатываемых персональных данных и способах обработки с указанием действий, совершаемых с персональными данными, но и информацию о целях обработки таких данных.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч.ч. 2, 5 ст. 5 Закона N 152-ФЗ).
Обобщая приведенные нормы, мы приходим к выводу о том, что для законного хранения копии паспорта, ИНН, СНИЛС, диплома и других документов, содержащих персональные сведения работников, работодатель должен обеспечить одновременное соблюдение следующих условий:
- от работника должно быть получено согласие на хранение его персональных данных, указанных в копиях документов, необходимость обработки которых не обусловлена достижением целей, поименованных в пунктах 2-11 части первой ст. 6 Закона N 152-ФЗ;
- работодателем должны быть заранее определены конкретные цели хранения персональных данных, содержащихся в копиях документов работников, при этом такие цели не должны противоречить законодательству;
- объем персональных данных, указанных в копиях документов работника, не должен превышать объем данных, которые работодателю необходимо использовать в соответствии с заявленными целями обработки;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Как показывает судебная практика, при хранении копий документов, предоставленных работниками при приеме на работу или в процессе их трудовой деятельности, есть вероятность возникновения претензий со стороны контролирующих органов в связи с избыточностью обрабатываемых работодателем персональных данных работников. Так, в некоторых случаях суды признают незаконным хранение работодателем копий документов работников, в частности копии паспорта, свидетельства о присвоении ИНН, СНИЛС, военного билета и т.д., даже при наличии согласия работника на обработку его персональных данных (смотрите, например, постановления ФАС Северо-Кавказского округа от 21.04.2014 N Ф08-1921/14 и от 11.03.2014 N Ф08-480/14, Пятнадцатого арбитражного апелляционного суда от 14.03.2014 N 15АП-22502/13, Семнадцатого арбитражного апелляционного суда от 10.06.2015 N 17 АП-5329/15).
Поэтому для того, чтобы ответить на вопрос о законности хранения упомянутых документов, необходимо прежде всего определить, для достижения каких конкретных, заранее определенных и законных целей работодатель хранит копии личных документов работника. Если такие цели отсутствуют или хранение копий паспорта, свидетельства с указанием ИНН, документов об образовании и т.д. является избыточным с точки зрения достижения целей обработки персональных данных работников, хранение таких копий противоречит требованиям закона. В этом случае, как мы полагаем, работодателю следует вернуть копии документов работнику или уничтожить их (ст. 21 Закона N 152-ФЗ).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Евсюкова Валентина

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Комарова Виктория

27 декабря 2018 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

© ООО "НПП "ГАРАНТ-СЕРВИС", 2021. Система ГАРАНТ выпускается с 1990 года. Компания "Гарант" и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО "НПП "ГАРАНТ-СЕРВИС". Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО "НПП "ГАРАНТ-СЕРВИС", 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected].

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), [email protected]

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), [email protected]. Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Галичевская Е. Н.

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1. из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:


Хранение копий документов в личных делах сотрудников — это элемент системы кадрового документооборота, регламентированный законодательно. За нарушение правил обращения с документами предусмотрен штраф до 50 000 рублей. Избежать наказания удастся, если компания обоснует необходимость наличия бумаг и получит согласие работников на обработку персональных данных.

Условия, при которых хранение копий безопасно

В ст. 86 ТК РФ обозначены цели, для которых работодателям разрешено использование и хранение данных сотрудников. Ими пользуются для:

  • обеспечения соблюдения законов и иных нормативных актов;
  • содействия в трудоустройстве; предоставления образования и продвижения по службе;
  • обеспечения личной безопасности работников;
  • контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Во многих организациях, не зная, какие документы нельзя хранить в личном деле работника, держат копии паспортов и иных документов по традиции. И иногда даже после увольнения. Между тем, список целей, для которых работодателям разрешено использовать персональные данные сотрудников, и перечень документов, которые допускается хранить в личных делах сотрудников, закрытые — никак иначе пользоваться копиями нельзя. Например, ксерокопия паспорта поможет заполнить карточку работника, может, еще пару бумаг, но потом она больше не нужна.

Но теперь за хранение персональных данных сотрудника «просто так» штрафуют, и работодатели начали волноваться: что делать? Если в организации такие сведения по какой-либо причине нужны, в ЛНА перечислите, о каких бумагах идет речь, и оговорите, где хранить копии документов сотрудников, получите согласие на их хранение, а затем будьте готовы объяснить проверяющим, для чего они используются.

Кстати, информация, что ввели запрет на 9 документов в личных карточках сотрудников, — не более чем предупреждение, основанное на законодательстве. Но рекомендуем перестраховаться и убрать из дел сотрудников те бумаги, которые не нужны для реализации задач и обязанностей работодателя.

Специалисты Федеральной службы по труду и занятости подчеркивают, что хранение копий паспортов в личном деле сотрудника следует устанавливать с учетом требований нормативных актов, регламентирующих отношения в сфере неприкосновенности частной жизни, сбора и хранения персональной информации. По нормам Федерального закона от 27.07.2006 № 152 «О персональных данных», собирать, хранить, использовать и распространять данные гражданина возможно, только если он сам дал согласие на обработку его личной информации.

1

Штрафы за незаконное хранение

Чиновники по-своему ответили на вопрос, можно ли хранить копии документов в личном деле работника в 2020 г., но в судебной практике уже имеются случаи, когда хранение копий у работодателя судьи посчитали ненужным. В частности, в постановлении ФАС Северо-Кавказского округа от 11.03.2014 по делу № А53-10287/2013 заявлено, что для обработки персональных данных работников, принимаемых на работу, достаточно сверить сведения с оригиналами, и храниться копия паспорта в личном деле работника не должна.

Вкладывать в дела работников копии их персональных бумаг или нет, решать вам. Напомним только, что за нарушение норм в области персданных штрафуют по ст. 13.11 КоАП РФ. Так, за обработку информации в случаях, не прописанных законодательством, равно как и за обработку, несовместимую с установленными целями, должностных лиц штрафуют на 5000-10 000 рублей, а организацию — на 30 000-50 000 рублей.

В свете разъяснений Роструда работодателей будут штрафовать по п. 2 ст. 13.11 КоАП РФ. По ней, за обработку информации без письменного согласия субъекта персональных данных штраф для должностных лиц повышается до 10 000-20 000 рублей, а для компаний — до 15 000-75 000 рублей.

Правила хранения персональных данных обновят

На едином портале размещения проектов нормативных актов обсуждаются 2 законопроекта, которые поставят точку в вопросе, можно ли хранить копию паспорта в личном деле сотрудника, для всех компаний, обрабатывающих и хранящих персональные данные граждан, в том числе работодателей. Из первого документа следует, что при сборе персональных данных операторов придется обезличивать эти данные.

В ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ говорится, что обезличивание персданных — это комплекс действий, который позволяет частично скрыть принадлежность сведений конкретному субъекту: без дополнительной информации узнать, кому принадлежат данные, невозможно. Сейчас такие мероприятия являются обязательными только для государственных и муниципальных органов, но уже скоро требования по обезличиванию придется выполнять большинству компаний, в том числе работодателям.

Обезличивать информацию предстоит в соответствии с приказом Роскомнадзора от 05.09.2013 № 996, в котором рекомендуют пользоваться следующими методами:

  • замена части сведений;
  • изменение состава или семантики данных;
  • перемешивание (перестановка) отдельных записей или групп записей, что не позволит найти связь между информацией и конкретными субъектами.

За невыполнение обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов планируется ввести иные санкции, нежели штраф за хранение копий паспортов в личных делах: от 1500 рублей — для граждан до 6000 рублей — для должностных лиц. Это предусмотрено вторым законопроектом, обсуждаемым чиновниками. Если его одобрят, в ст. 13.11 КоАП РФ укажут, что за такое нарушение индивидуальным предпринимателям грозит штраф до 10 000 рублей, а организациям — до 30 000.

Как объясняют в Минкомсвязи, где разработали оба документа, защита персональных данных в процессе хранения копий документов в личных делах — это хорошо, но после достижения целей сбора и обработки персональной информации все данные должны уничтожаться либо обезличиваться. У компаний часто накапливается массив информации, от которой необходимо как-то избавляться. И если для государственных и муниципальных органов предусмотрены конкретные требования и методы хранения и обезличивания данных, то для остальных операторов они не обязательны, и компании вправе пользоваться собственными способами. Для урегулирования этой ситуации предложено распространить утвержденные правила на всех операторов. А контроль за выполнением законодательства возложат на Роскомнадзор.

Персональные данные работников: как работодателю не нарушить закон

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

Основная информация о персональных данных:

Глава 14 Трудового кодекса РФ

Закон № 152-ФЗ О персональных данных

Положение об особенностях обработки персональных данных без средств автоматизации

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

Вот список для ориентира:

Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Сдавайте отчётность без бухгалтерских знаний

Эльба — бухгалтерия, с которой справится любой. Сервис подготовит платёжки на зарплату, налоги и взносы — а потом сам сформирует отчётность.

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Правила работы с персональными данными работника

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

2. Назначьте ответственного за персональные данные.

Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя.

3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально.

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты.

Трудовые отношения предусматривают составление специальной документации и заключение трудовых договоров, распоряжений и приказов. Обязательным условием для подписания данных бумаг является внесение достоверных личных данных сторон (инициалов, фактического адреса, сведений о рабочей квалификации, должностных обязанностях и др.).

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты, в которых регламентируется обработка, передача и защита информации о сотрудниках работодателем. Поэтому все работодатели обязаны соблюдать порядок хранения и использования персональных данных работников.

Хранение персональных данных работников

Специальное нормативное положение, в котором определяются правила по распоряжению личной информацией сотрудников работодателем, предусматривает соблюдение определенных требований:

  • конкретная форма, в которой хранятся личные данные сотрудников, должна соответствовать всем требованиям и полностью идентифицировать субъекта личной информации;
  • срок сохранения информации не должен превышать времени, которого будет достаточно для воплощения целей, в соответствии с которой требуется обработка;
  • данные необходимо уничтожать непосредственно после достижения всех целей, для которых была организована обработка информации;
  • информация должна быть удалена в случае отсутствия необходимости дальнейшей обработки и использования данных.

Обработка, передача и защита личных сведений сотрудников поручается ответственному оператору, который должен соблюдать все правила и специальное законодательное положение. Если же по каким-либо причинам должностное лицо не может самостоятельно выполнять свои прямые обязанности, то он должен поручить обработку и защиту информационных данных иному сотруднику на основании официально заключенного договора.

Важнейшим условием данного документа является указание специальной обязанности, в соответствии с которой обеспечивается обработка, передача и защита личной информации при соблюдении конфиденциальности и полной безопасности.

Кто имеет право обрабатывать и использовать персональные данные

Должностные лица, которые сталкиваются с обработкой и сохранением личной информации сотрудников, должны исполнять специальное положение. Подобные документы и правила составляются работодателем, а также чаще всего издаются в форме должностных инструкций, коллективных и индивидуальных трудовых договоров и др.

Положение или распоряжение включает правила защиты данных сотрудников, устанавливает перечень лиц, которым подлежит обработка и эксплуатация информации, срок обработки, основания и условия предоставления информации и др.

Хранение и использование личной информации сотрудников входит в компетенцию должностных лиц, которые назначаются непосредственно работодателем. В обязанности данных граждан входит соблюдение всех норм по обработке и распоряжению личными данными подчиненных. Законодательными актами регламентируется срок, правила, а также перечень лиц на руководящих должностях, которые должны работать с личной информацией сотрудников:

  • главный специалист, который занимается защитой данных;
  • заместитель директора, в обязанности которого входит администрирование персоналом;
  • менеджер по управлению персоналом;
  • начальных отдела кадров.

На предприятиях и в компаниях обработка и сохранение личной информации также поручается рядовым работникам, например, бухгалтерам, инженерам по защите информации, управлению и подготовке кадров, документоводам, специалистам по защите данных и др.

Рядовые исполнительные должностные лица также сталкиваются с использованием и защитой информации в процессе выполнения своих обязанностей, например, секретари, референты, инспекторы и др., которые принимают заявления и различные документы.

Порядок хранения персональных данных работников

Должностное лицо обязано соблюдать специальное положение, в котором регламентируется обработка, сохранение и защита личной информации, личных дел сотрудников. Правила и порядок эксплуатации должны соблюдаться стороной работодателей. Данные лица должны обеспечить выполнение следующих функций:

  • составление и хранение первичной документации, которая издается в унифицированной форме;
  • сохранность бумаг, в которых ведется учет рабочих кадров;
  • хранение документации, в которой учитывается специфика распределения рабочего времени;
  • сохранность пакета документов, в котором ведется расчет об оплате труда рабочему персоналу.

Порядок и срок сохранения личной информации гражданских служащих определяет трудовое законодательство, а также специальное ведомственное положение.

Срок хранения

Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных. Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования. Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.

Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда. Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:

  • содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
  • быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
  • быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
  • содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
  • предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.

Иные документы, которые содержат в себе данные о пенсионном страховании, хранятся в архивах пенсионных учреждений не мене трех лет. Соответствующие документы подлежат уничтожению, когда срок их хранения истекает.

В таком случае уничтожение бумаг возможно исключительно после факта ознакомления застрахованным лицом со всеми данными о лицевом счете и страховом стаже.

Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:

  • акты о несчастных случаях на производстве;
  • акты о несчастных случаях, которые касаются группы лиц;
  • документы о расследовании тяжелого несчастного случая;
  • бумаги о несчастных случаях сл смертельным исходом и др.

Нормативные акты о защите данных

При разработке локальных нормативных актов, которые касаются защиты личной информации сотрудников, учитывается законодательное положение, а также специфика работы предприятия. В соответствующих нормативных актах регламентируются следующие положения:

  • перечень личной информации сотрудников, которые нужны работодателю для выполнения всех трудовых обязанностей;
  • список лиц, которые имеют право получать личные данные;
  • правила хранения, обработки, передачи, защиты и предоставления личной информации;
  • должностное лицо, которое имеет право хранить персональные данные сотрудников, а также осуществлять контроль за процессом сохранения информации.

Помимо обязанностей работодателя, нормативные акты включают перечень прав и обязанностей сотрудников, которые касаются необходимости предоставления достоверной информации, а также обеспечения надежного хранения данных и соблюдения конфиденциальности.

Читайте также: