Какие сведения признаются персональными данными сотрудников, и какие документы их содержат? Кто считается субъектом и оператором персональных данных? Какие условия необходимо соблюсти при передаче работодателем персональных данных своих работников третьим лицам? Как работодателю организовать предписанную законодательством систему защиты персональных данных, какие документы при этом необходимо оформить? Нужно ли уведомлять Роскомнадзор? Какая ответственность за нарушение порядка сбора, хранения, использования или распространения персональных данных предусмотрена для работодателя и его должностных лиц? Штрафы доходят до 200 000 – 300 000 рублей!

Определимся с понятиями

В п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) указано, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Как видите, конкретного перечня нет, достаточно, чтобы такая информация позволяла определить, к какому лицу она относится.

Там же указано, кто обязан принимать меры по защите персональных данных. Это и государственные органы, и юридические / физические лица, которые обрабатывают персональные данные с использованием средств автоматизации или без них, если обработка персональных данных позволяет осуществлять поиск персональных данных. Таким образом, практически все организации так или иначе сталкиваются с обработкой персональных данных1 как своих сотрудников, так и клиентов (при оформлении бонусных или скидочных карт). В этом случае их ­называют операторами (п. 2 ст. 3 Закона № 152-ФЗ).

В этой статье мы рассмотрим регулирование защиты персональных данных работника в рамках трудовых отношений с работодателем.

Получение персональных данных

Прежде всего следует очертить круг тех документов и баз данных, в которых содержатся персональные данные работников и которые необходимо защищать от несанкционированного доступа. Так как понятие персональных данных включает в себя любую информацию, позволяющую идентифицировать работника, практически все документы и базы, касающиеся сотрудников (как на бумажных носителях, так и ­электронные) будут ­являться носителями персональных данных.

К документам, содержащим персональные данные работников, можно, например, отнести следующие:

  • анкету, автобиографию, личный листок по учету кадров, которые на практике часто заполняются работником при приеме на работу;
  • копии документов, хранящиеся в личном деле работника: копии документа, удостоверяющего личность, документов воинского учета, документа об обязательном пенсионном страховании, свидетельств о ­заключении ­брака, рождении детей, документов об образовании;
  • трудовую книжку;
  • личную карточку;
  • трудовой договор и дополнительные соглашения к нему;
  • подлинники и копии приказов по личному составу;
  • документы оплаты труда;
  • документы об обучении, оценке, аттестации работников;
  • базы данных, обрабатываемые автоматически (например, таблицы ­Excel, базы программы 1С);
  • иные документы, содержащие персональные данные работников.

Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ). Получаемые персональные данные должны соответствовать только указанным целям.

Запрашивать некоторую информацию прямо запрещено законодательством. Например, работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), а также данные работника о его членстве в общественных объединениях или его профсоюзной ­деятельности (п. 4 и 5 ст. 86 ТК РФ).

Если работодатель требует личные данные, не соответствующие указанным целям или относящиеся к запрещенным, работник имеет право отказаться их предоставлять.

Пример 1. Отказ работника от предоставления данных

При трудоустройстве работника кадровик заполнял личную карточку по форме № Т-2, в которой есть раздел «Состав семьи», и попросил назвать фамилию, имя, отчество жены для внесения этих данных в личную карточку. Работник отказался сообщить данные, заметив при этом, что они не являются необходимыми для его трудоустройства или карьерного продвижения, а форма личной карточки не носит обязательный характер.

Все персональные данные сотрудника следует получать у него самого (п. 3 ст. 86 ТК РФ). Если информацию можно получить только у третьей стороны, то работник должен быть об этом уведомлен заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение. Это положение относится не к работникам, а прежде всего к соискателям, когда организация запрашивает рекомендации с предыдущих мест работы. Получение согласия является обязательным условием при направлении компанией запросов в иные организации, в том числе на прежние места работы, для уточнения или получения дополнительной информации о кандидате. Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим, причем не для запроса информации, а для уведомления прежнего ­работодателя в порядке ч. 3 ст. 64.1 ТК РФ.

К сведению

Роскомнадзор подтвердил необходимость получения согласия соискателей (разъяснения от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее – Разъяснения Роскомнадзора). Делать это не надо только в том случае, если от имени соискателя действует кадровое агентство, с которым данное лицо заключило договор, а также при самостоятельном размещении соискателем резюме в Интернете, доступном неограниченному кругу лиц.

В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем (например, приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т.д.).

Если сбор персональных данных соискателей осуществляется с использованием анкеты, то она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо об отказе в приеме на работу. Кстати, типовая форма анкеты...

Вы видите 20% этой статьи. Выберите свой вариант доступа

Купить эту статью
за 300 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Внимание!
20% скидки на 2 полугодие 2021 г. на электронную версию журнала + специальный промокод от 10% на любой тип подписки (бумажная, электронная, комплект с доступом к базе знаний) = скидка от 30%

Рекомендовано для вас

Организация работы с персональными данными службой делопроизводства

Изменения Закона о персональных данных – это повод провести аудит и актуализацию работы с персональными данными в организации. Что стоит сделать службе делопроизводства совместно с кадровой службой: какие приказы и ЛНА проверить, какие формы документов утвердить (опубликовали образцы новой разновидности согласия (на распространение персданных) и отзыва согласия). Описана современная лучшая практика работы с личными делами сотрудников с учетом защиты персональных данных: кого стоит знакомить с личными делами, как это организовать и документировать; как хранить часть документов о работнике вне личного дела (чтобы после увольнения не изымать из него лишнее перед сдачей в архив). Сколько и как хранить уведомления и согласия на обработку персданных (с примером отражения в номенклатуре дел и оптимальной систематизацией документов внутри дела).

Как оформить согласие на обработку персональных данных

Что изменилось с 1 марта 2021 г. В какой форме может быть оформлено согласие на обработку персональных данных: отдельный документ; включение в анкету, заявление, договор; подписание на сайте путем нажатия кнопки и введения полученного пароля. В каких случаях и какой форме необходимо получать согласие на распространение персданных. Приводим образцы согласий работников, в т.ч. для ситуации, когда данные передаются сторонней организации при аутсорсинге бухгалтерского и кадрового учета. Показываем, что стоит включить в согласие, если оно оформляется на этапе проведения собеседований с кандидатами.

Согласие работника на обработку персональных данных: ответы на 7 главных вопросов

Даем ответы на самые распространенные вопросы. Всегда ли необходимо согласие работника на обработку персональных данных? Оказывается, что нет. Что должно содержать в себе письменное согласие на обработку персональных данных? Чем грозит неоформление или неправильное оформление согласия? За каждого ли работника, у которого не взято согласие, работодателя могут оштрафовать на 75 000 рублей? Требуется ли согласие на обработку персональных данных, содержащихся в резюме соискателя? Можно ли включить согласие в текст заключаемого трудового договора? Как работодатель может воспрепятствовать работнику отказаться дать или отозвать согласие на обработку персональных данных?

Что относится к персональным данным

Перечисляем сведения о человеке, которые проверяющие и суды точно относят к персональным данным (Ф.И.О., полный адрес проживания и др.), а также те, по которым однозначной позиции не сформировано, поэтому их на всякий случай тоже стоит включать в согласие на обработку персональных данных и обезличивать при выдаче копий документов (телефон, образование и др.). Примечательно, что паспортные данные отнесены к персональным данным, а ИНН – нет, фотографии – отнесены, а видеосъемка – не всегда. Объясняем, какие сетевые данные (IP-адрес, файлы cookie и др.), сведения о зарплате и условиях работы, состоянии здоровья уже стали признаваться персональными данными. Раскрываем тенденции последнего времени, которые диктуются борьбой с COVID-19 и развитием интернет-технологий.

Организация работы с персональными данными службой делопроизводства

Изменения Закона о персональных данных – это повод провести аудит и актуализацию работы с персональными данными в организации. Что стоит сделать службе делопроизводства совместно с кадровой службой: какие приказы и ЛНА проверить, какие формы документов утвердить (опубликовали образцы новой разновидности согласия (на распространение персданных) и отзыва согласия). Описана современная лучшая практика работы с личными делами сотрудников с учетом защиты персональных данных: кого стоит знакомить с личными делами, как это организовать и документировать; как хранить часть документов о работнике вне личного дела (чтобы после увольнения не изымать из него лишнее перед сдачей в архив). Сколько и как хранить уведомления и согласия на обработку персданных (с примером отражения в номенклатуре дел и оптимальной систематизацией документов внутри дела).

Как оформить согласие на обработку персональных данных

Что изменилось с 1 марта 2021 г. В какой форме может быть оформлено согласие на обработку персональных данных: отдельный документ; включение в анкету, заявление, договор; подписание на сайте путем нажатия кнопки и введения полученного пароля. В каких случаях и какой форме необходимо получать согласие на распространение персданных. Приводим образцы согласий работников, в т.ч. для ситуации, когда данные передаются сторонней организации при аутсорсинге бухгалтерского и кадрового учета. Показываем, что стоит включить в согласие, если оно оформляется на этапе проведения собеседований с кандидатами.

Согласие работника на обработку персональных данных: ответы на 7 главных вопросов

Даем ответы на самые распространенные вопросы. Всегда ли необходимо согласие работника на обработку персональных данных? Оказывается, что нет. Что должно содержать в себе письменное согласие на обработку персональных данных? Чем грозит неоформление или неправильное оформление согласия? За каждого ли работника, у которого не взято согласие, работодателя могут оштрафовать на 75 000 рублей? Требуется ли согласие на обработку персональных данных, содержащихся в резюме соискателя? Можно ли включить согласие в текст заключаемого трудового договора? Как работодатель может воспрепятствовать работнику отказаться дать или отозвать согласие на обработку персональных данных?

Что относится к персональным данным

Перечисляем сведения о человеке, которые проверяющие и суды точно относят к персональным данным (Ф.И.О., полный адрес проживания и др.), а также те, по которым однозначной позиции не сформировано, поэтому их на всякий случай тоже стоит включать в согласие на обработку персональных данных и обезличивать при выдаче копий документов (телефон, образование и др.). Примечательно, что паспортные данные отнесены к персональным данным, а ИНН – нет, фотографии – отнесены, а видеосъемка – не всегда. Объясняем, какие сетевые данные (IP-адрес, файлы cookie и др.), сведения о зарплате и условиях работы, состоянии здоровья уже стали признаваться персональными данными. Раскрываем тенденции последнего времени, которые диктуются борьбой с COVID-19 и развитием интернет-технологий.