Работа с персональными данными: ответы на вопросы

Работник может отозвать свое согласие на обработку персданных, которое он дал ранее работодателю. Запретить ему это мы не можем. Однако даже с отозванным согласием работодатель продолжает обработку его персональных данных, но только в минимально необходимом объеме.

Напомним, по общему правилу согласие на обработку персональных данных не требуется, когда (п. 2–11 ч. 1 ст. 6 Закона о персданных¹):

• обработка осуществляется для исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий;
• собираются персональные данные близких родственников работника в объеме, предусмотренном личной карточкой, карточкой учета военнообязанного, а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др.;
• запрашиваются сведения о состоянии здоровья работника для установления возможности выполнения им трудовой функции;
• обработка персональных данных связана с выполнением работником своих трудовых обязанностей, например, при командировании;
• обработка проводится в целях организации пропускного режима;
• обработка в отношении уволенных работников в рамках установленных сроков.

Согласие на обработку персональных данных требуется, если обрабатываются:

• дополнительная информация о работнике (номер его мобильного телефона, адрес личной электронной почты и т. д.);
• биометрические персональные данные (любые физиологические данные – ​рост и вес (для спецодежды), дактилоскопические, радужная оболочка глаз, анализы ДНК и иные физиологические или биологические характеристики, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта);
• специальные данные (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).

Соответственно, персональные данные из первой категории работодатель может продолжать обрабатывать, даже если работник отзовет свое согласие на их обработку.

Вместе с тем на практике работодатели часто запрашивают данные сверх указанных, на всякий случай (например, номер личного мобильного телефона, адрес фактического проживания и пр.). Поэтому надо проверить, какие данные сверх минимально необходимых вы собрали с работников, их обработку надо прекратить, а сами данные уничтожить в установленном порядке.

Иногда на практике встречается ситуация, когда работник уже после конфликтного увольнения требует уничтожить его персональные данные, отозвав свое согласие. Здесь вспоминаем о требованиях ст. 22.1 Федерального закона от 22.10.2004 № 125‑ФЗ «Об архивном деле в Российской Федерации»² , согласно которым документы по личному составу хранятся 50/75 лет. Соответственно, требование работника в указанной части выполнить не можем.

С 01.09.2022 ч. 1 ст. 9 Закона о персданных начала действовать в новой редакции, согласно которой согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Ранее речь шла только о конкретности, информированности и сознательности. Сейчас к этим требованиям добавилось еще два – ​предметность и однозначность. Многие специалисты стали считать, что на практике это означает конкретную и четкую цель получения согласия на обработку персданных и, соответственно, одну цель для одного согласия. Однако в законе об этом прямо не сказано, как и не было соответствующих разъяснений от Роскомнадзора.

Мы проанализировали судебную практику и в настоящее время не видим, чтобы организации штрафовали за совмещение разных целей в одном согласии. Поэтому полагаем, что совмещать несколько целей обработки персданных в одном согласии можно (например, объединив согласие на обработку общих персональных данных и биометрических, а также на получение личной информации от третьих лиц). Вместе с тем обратите внимание: отдельное письменное согласие потребуется на распространение персональных данных работника (ст. 10.1 Закона о персданных).

Да, в этом случае также требуется согласие работников, ведь вы обрабатываете биометрические персональные данные. Напомним, что к ним относится все, что связано с физиологическими и биологическими данными, на основании которых можно установить личность, в том числе фото, аудио- и видеозаписи. Если в компании ведется видеонаблюдение, то следует:

• не только принять локальный нормативный акт (порядок использования видеонаблюдения в компании можно прописать в Правилах внутреннего трудового распорядка или в отдельном документе, например Положении о видеонаблюдении) и ознакомить всех работников с ним,
• но и получить с работников письменные согласия.

Подтверждают это и специалисты Роструда на сайте онлайнинспекция.рф³ .

Также обратите внимание, что запрещено устанавливать видеокамеры в туалетах, раздевалках, душевых, комнатах отдыха персонала, поскольку они нарушают права работников на частную жизнь. Статьей 137 УК РФ предусмотрена ответственность за нарушение неприкосновенности частной жизни.

Существует риск, что какие-то работники могут отказаться давать согласия на обработку биометрических персональных данных (а сотрудник имеет на это право, поскольку обязательным такое представление не является). Но это не означает, что из-за отдельной группы работников придется отказаться от видеонаблюдения вовсе. Согласно абз. 5 ч. 1 ст. 22 ТК РФ работодатель вправе требовать от сотрудников исполнения трудовых обязанностей и бережного отношения к имуществу работодателя и других работников, соблюдения правил внутреннего трудового распорядка, требований охраны труда. Ведение видеонаблюдения можно отнести как раз к контролю сотрудников со стороны работодателя. Тем не менее, чтобы снизить риски во взаимоотношениях с такими отказниками:

1) проверьте, что все они были под подпись ознакомлены с ЛНА о видеонаблюдении, если несогласные отказываются поставить подпись об ознакомлении с ЛНА, то необходимо составить об этом акт;

2) разместите предупреждающие таблички о том, что в помещениях есть видеокамеры, ведь видеонаблюдение должно вестись открыто.

Кстати, если говорить про биометрические персданные, оцените, насколько в принципе необходимо брать с работников согласия на их обработку. Например, некоторые работодатели до сих пор приклеивают фотографии сотрудников на личные карточки, оформляемые по унифицированной форме № Т-2 (утв. постановлением Госкомстата РФ от 05.01.2004 № 1). Однако с 01.01.2013 они не обязательны к применению, поэтому работодатель может внести изменения в госкомстатовскую форму и модифицировать ее под себя. Более того, Минтруд России в письме от 24.12.2021 № 14-6/В-1487 указал, что личные карточки можно вести в электронном виде. А это значит, что если больше нигде не требуется биометрия работников (например, на пропуске), то и на личных карточках можно отказаться от фото сотрудников и не запрашивать с них соответствующие согласия.

В указанном случае должно быть согласие на сбор персональных данных работников (кандидатов) от третьих лиц. По общему правилу работодатель вправе требовать и получать персональные данные исключительно от самого сотрудника. Если же возникает необходимость запросить данные у третьего лица, например, проверить сведения о дипломе, то работник должен быть согласен на это. И в таком согласии должно быть конкретно указано:

• у кого именно будет запрошена личная информация – ​наименование организации, в данном случае высшего учебного заведения, его адрес,
• а также информация, которая будет запрошена (данные, подтверждающие факт обучения).

Если эти сведения включены в общее согласие на обработку персданных, которое работник дал при трудоустройстве, то предоставить данные можно. Но, как правило, они отсутствуют в общем согласии. В таком случае вузу следует отказаться предоставить данные и запросить соответствующее согласие.

Кстати, таким же образом следует поступать и в случае с передачей персональных данных третьим лицам. Персональные данные сотрудников можно передавать без их согласий только (ст. 88 ТК РФ):

• в уполномоченные органы в целях предупреждения угрозы жизни и здоровью работника, при несчастном случае;
• в налоговые органы, государственные внебюджетные фонды, военкоматы;
• по запросам профсоюзов;
• по запросам органов прокуратуры, ГИТ, суда, МВД, военкоматов и т. д.;
• в случаях, связанных с исполнением работником должностных обязанностей (например, при направлении в командировку);
• для предоставления сведений в кредитную организацию, обслуживающую платежные карты работников, если в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) предусмотрено право работодателя передавать персональные данные сотрудников для этого случая либо работодатель действует на основании доверенности на представление интересов работников.

Во всех остальных ситуациях требуется письменное согласие. Например, когда работодатель направляет сотрудника на длительное обучение, однодневный семинар, командировку, передает кадровый, бухгалтерский, налоговый учет на аутсорсинг и пр.

Причем в согласии надо прописать:

• какие конкретно персональные данные будут передаваться,
• какова цель их передачи,
• кому (наименование, адрес и другие данные, позволяющие идентифицировать третье лицо).

В Законе о персданных о грифе «ДСП» ничего не говорится. В обычных коммерческих организациях, как правило, гриф «ДСП» не используется. Если речь идет о государственных или муниципальных организациях, то здесь следует руководствоваться профильными нормативными правовыми актами и внутренними правилами, установленными специально для таких организаций.

В приказе о перечне лиц, имеющих доступ к персональным данным, должны быть перечислены только те лица, кто имеет к ним непосредственный доступ. Если в организации все сотрудники имеют такой доступ, то да, их надо указать всех. Но, как правило, так не бывает, кроме случаев, когда организация совсем небольшая. Также надо учитывать, что разные сотрудники могут иметь доступ к персональным данным разных групп людей, например:

• специалист отдела кадров и бухгалтер – ​к персональным данным работников,
• IT-специалист – ​к персональным данным пользователей сайта,
• бухгалтер и менеджер по продажам – ​клиентов и контрагентов.

Еще на практике часто возникает вопрос: можно ли в приказе указать только должности работников без Ф.И.О.? Особенно это актуально в компаниях с большой текучкой, когда постоянно меняются работники и возникают сложности в том, чтобы поддерживать приказ в актуальном состоянии, приходится постоянно вносить в него изменения. К сожалению, обойтись без указания Ф.И.О. в приказе о перечне лиц, имеющих доступ к персданным, нельзя. В приказе об утверждении перечня лиц, имеющих доступ к персональным данным, должны быть обязательно указаны:

• должность (профессия) и Ф.И.О. работника;
• основания доступа к персональным данным;
• цели обработки персданных.

А это значит, что необходимо регулярно проверять актуальность указанного приказа.

Также не забываем давать таким работникам на подпись обязательство о неразглашении персональных данных и включать в трудовые договоры и/или должностные инструкции соответствующие обязанности.

Работа архивных служб регулируется и Законом об архивном деле, и Законом о персданных. Оба закона необходимо соблюдать.

Если заявитель – ​работник, то соответствующее согласие – ​общее согласие на обработку персональных данных – ​у вас уже есть. Если это не работник, а третье лицо, то рекомендуем в анкете на выдачу справки добавить текст согласия на обработку, чтобы при составлении анкеты он сразу давал соответствующее согласие.

Да, так сделать можно. Однако возникает вопрос, насколько удобно это будет, потому что при каждом изменении места придется вносить изменения и в указанный ЛНА (или принимать его в новой редакции). Если же вы не планируете менять место хранения, то законом это не запрещено.

Напомним, что для предотвращения нарушений законодательства о персональных данных работодатель обязан принимать не только правовые, но и организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных и иных неправомерных действий (ст. 18.1, 19 Закона о персданных). Одна из таких мер – ​хранить персональные данные недоступными для не имеющих к ним доступ любых лиц, в том числе и сотрудников организации. С этой целью и следует утвердить перечень помещений, предназначенных для хранения персональных данных.

Для начала надо определиться, к какому именно номеру мобильного телефона привязан аккаунт, который планирует добавить работодатель в общий чат мессенджера, – ​личному или корпоративному. Если это личный номер телефона сотрудника, то включать его в общий чат работодателя в мессенджере без получения согласия работника на обработку его персональных данных нельзя.

Если же сотрудники не против использования личных аккаунтов в мессенджерах для работы, работодателю следует:

• закрепить в ЛНА порядок применения мессенджеров в рабочих целях и возможность компенсировать затраты сотрудника за использование для этого личного имущества;
• утвердить приказом список работников, использующих личный мобильный телефон в служебных целях;
• в должностных инструкциях работников прописать, при исполнении каких обязанностей сотрудник должен пользоваться мессенджером и как часто;
• получить от работника письменное согласие на обработку персональных данных (номера телефона и Ф.И.О.) в целях включения в общий чат;
• заключить с работниками письменные соглашения о возмещении расходов на использование ими личных мобильных телефонов в рабочих целях (ст. 188 ТК РФ).

Без согласия работника добавить его в общий чат мессенджера можно, если:

• телефон и связь – ​корпоративные;
• работодатель оплачивает мобильную связь, включая доступ в Интернет;
• в организации утвержден порядок использования группового чата, с которым работник ознакомлен.

Не стоит забывать и о том, что все рабочие вопросы в групповом чате могут решаться только в рабочее время сотрудника.

Согласно п. 2 ч. 2 ст. 1 Закона о персданных действие закона не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.

В соответствии с п. 3 ст. 3 Закона об архивном деле документы по личному составу, отражающие трудовые отношения работника с работодателем, являются архивными документами, а согласно п. 9 ст. 3 архивом признается учреждение или структурное подразделение организации, осуществляющее хранение, комплектование, учет и использование архивных документов.

Причем документ становится архивным только после принятия его собственником (владельцем) решения о передаче его в архив в связи с закрытием дела, по сути, в связи с тем, что данный документ окончательно исполнен и в процессе текущей хозяйственной деятельности организации более не пригодится.

Хранение архивных документов в соответствующих архивах предусматривает определенный режим, особенности которого установлены законодательством об архивном деле, а не о персональных данных (письмо Роскомнадзора от 02.03.2020 № 13677-02-11/77).

Уведомлять Роскомнадзор об обработке персональных данных не требуется только в трех ситуациях (ч. 2 ст. 22 Закона о персданных):

• если персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
• если оператор обрабатывает персданные в предусмотренных законодательством о транспортной безопасности случаях, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Во всех остальных случаях необходимо уведомлять ведомство до начала обработки, в том числе если обработка персданных осуществляется только в рамках трудовых отношений или для однократного пропуска на территорию.

Приказом Роскомнадзора от 28.10.2022 № 180 утверждено три формы уведомлений в сфере обработки персональных данных:

• о намерении осуществлять обработку персональных данных;
• изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
• прекращении обработки персональных данных.

Направить уведомление можно почтой или на сайте Роскомнадзора⁴. Если вы до сих пор это не сделали, рекомендуем оперативно уведомить ведомство.

Проверить, есть ли работодатель в реестре операторов, можно на сайте Роскомнадзора⁵ . Предельный срок уведомления не определен ⁶.

В случае изменения сведений, указанных в уведомлении, оператор обязан уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения (ч. 7 ст. 22 Закона о персданных).

Сюда же относится информация об ответственных за обработку персональных данных лицах. Если с момента уведомления они поменялись, то об этом следует предупредить Роскомнадзор.

В случае прекращения обработки персональных данных оператор обязан уведомить Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Сведения о работодателе из реестра операторов будут исключены в течение 30 дней с даты поступления соответствующего уведомления.

Если на сайте организации происходит сбор персональных данных (например, есть страничка с обратной связью), то согласно ч. 2 ст. 18.1 Закона о персданных ⁷ необходимо:

• не только получать от пользователей согласия на обработку персональных данных,
• но и опубликовать Политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персданных в соответствующей сети, а также обеспечить возможность доступа к этому документу на всех страницах сайта, где осуществляется сбор персональных данных.

Поэтому если пользователь сайта заметит, что нет Политики, он может пожаловаться в Роскомнадзор. Если вы владелец сайта, то надо принять меры и разместить соответствующий ЛНА в открытом доступе для неограниченного круга лиц.

Наталья Свистунова, главный редактор журнала
«Кадровая служба и управление персоналом предприятия»