Как работать с персональными данными сотрудников

Если у вас есть сотрудники — вы автоматически становитесь оператором персональных данных, а значит должны соблюдать правила работы с ними. Вполне возможно, что о некоторых из них вы даже не подозревали. Почитайте статью, чтобы знать и избежать штрафов.

Что такое персональные данные

Это любые факты, события, обстоятельства жизни и другая информация, благодаря которым можно идентифицировать личность физлица.

Точного перечня персональных данных нет. Что в него включать, зависит от ситуации. В частности, к персональным данным работника относятся:

• фамилия, имя, отчество;
• пол;
• возраст;
• дата и место рождения;
• паспортные данные;
• адрес регистрации и фактического проживания;
• номер телефона;
• национальность;
• семейное положение;
• сведения о детях, родственниках;
• социальное, имущественное положение;
• образование, профподготовка, повышение квалификации;
• профессия, специальность;
• доходы;
• состояние здоровья;
• информация о судимости;
• сведения о предыдущем месте работы: должность, зарплата и т. д.;
• политические и религиозные взгляды и др.

По отдельности эти сведения не будут персональными данными. Например, адрес без ФИО проживающего. Или номер телефона, если непонятно, чей он. Персональными они становятся, когда по этим данным можно прямо или косвенно определить конкретного человека.

Не относится к персональным данным ИНН. Минфин объясняет, что он нужен только для учёта налогоплательщиков внутри налоговой системы и для ускорения обработки большого потока информации.

Документы, которые содержат персональные данные работников:

• трудовой договор и допсоглашения к нему;
• приказы о приёме на работу, о переводе, о совмещении, об отпуске, о премировании, об увольнении и т. д.;
• документы по аттестации работника;
• трудовая книжка;
• личное дело;
• график отпусков;
• расчётный листок;
• зарплатная ведомость;
• копии паспорта, документа об образовании, военного билета;
• личная карточка и др.

Такие документы работодатели обязаны вести и хранить по особым правилам.

Как работать с персональными данными

Основные документы, которыми нужно руководствоваться в работе с персональными данными — это закон № 152-ФЗ и глава 14 ТК РФ.

Что такое обработка персональных данных и как её вести

Обработкой персональных данных считаются любые действия, которые с ними можно произвести вручную или с помощью программ и сервисов:

• сбор;
• передача
• запись;
• хранение;
• изменение;
• распространение (неограниченному кругу лиц);
• предоставление (конкретным лицам);
• анализ;
• удаление и т. д.

Организация или ИП, у которых есть работники, считаются операторами персональных данных, так как получают и обрабатывают информацию о физлицах.

В некоторых случаях обработку нельзя сделать без ведома Роскомнадзора (ч. 1 ст. 22 Закона № 152-ФЗ). В частности, если работодатель:

1. Получает любую дополнительную информацию о сотрудниках, которую не обязывает собирать ТК РФ. Например, их фотографии.
2. Ведёт обработку не только в рамках трудовых отношений. Например, подаёт данные сотрудников в страховую компанию для оформления полисов ДМС или устанавливает видеонаблюдение на рабочих местах.

В этих случаях до начала такой обработки нужно отправить уведомление в Роскомнадзор — в бумажном или электронном виде. В течение 30 дней Роскомнадзор внесёт сведения из уведомления в Реестр операторов персональных данных. Если в них что-то не так, пришлёт запрос об уточнении.

Если работодатель обрабатывает информацию только в рамках трудовых отношений, никаких уведомлений не нужно.

Положение о работе с персональными данными

Всем работодателям нужно составить локальный нормативный акт — положение о работе с персональными данными. Установленной формы нет, но обычно в нём несколько разделов:

• общие положения — цель документа;
• основные понятия — расшифровки терминов, которые фигурируют в документе (обработка, распространение и т. д.);
• состав персональных данных — какая информация к ним относится, список документов, в которых она содержится;
• правила получения, обработки, передачи, хранения и использования персональных данных;
• список сотрудников, у которых есть допуск к таким данным;
• порядок хранения — где и как хранятся персональные данные, меры по защите;
• ответственность за нарушение правил работы с персональными данными;
• заключительные положения — с какой даты вводится в действие, кто назначен ответственным.

Образец положения о работе с персональными данными

Формулировки можно брать из Закона № 152-ФЗ. Внизу, на последнем листе расписывается сотрудник, составивший документ. Чаще всего это специалист по кадрам.

Положение утверждает руководитель организации, ИП или уполномоченный сотрудник. До утверждения документ могут согласовать другие заинтересованные работники (например, руководитель отдела кадров или юрист), если такой порядок принят у работодателя.

Утвердить и ввести в действие положение можно приказом или грифом «Утверждаю» с должностью, подписью, ФИО и датой, который ставят в правом верхнем углу первого листа документа.

С положением нужно ознакомить всех работников под подпись. Это можно сделать:

• на отдельном листе ознакомления и подшить его к положению;
• в специальном журнале ознакомления с локальными нормативными актами работодателя;
• на последнем листе второго экземпляра трудового договора, который будет храниться у работодателя.

Если работник отказывается ознакомиться с положением о работе с персональными данными, оформите акт об отказе. Это будет подтверждением того, что вы выполнили свои обязанности и убережёт от претензий проверяющих.

Когда нужно согласие на обработку персональных данных и как его оформить

Не всегда нужно получать письменное согласие работника на обработку его персональных данных. Например, оно не потребуется для:

• оформления и исполнения трудового договора;
• заполнения личной карточки и других кадровых документов;
• передачи в органы статистики при условии, что данные обезличены, то есть их нельзя отнести к конкретному физлицу;
• передачи в налоговую инспекцию, соцстрах, пенсионный фонд, военкомат — по их запросам или в составе отчётности;
• внесения в специальный реестр ЕСИА информации о корпоративных сим-картах сотрудников;
• передачи по запросу в прокуратуру, МВД, ФСБ и в другие ведомства, которым разрешено запрашивать информацию о работниках.

Подтверждение — ст. 86, 88 ТК РФ, п. 2 ч. 1 ст. 6 закона № 152-ФЗ., п. 2 ст. 44 закона № 126-ФЗ и т. д.

Взять согласие на обработку нужно, если вам понадобилось больше информации о работнике, чем установлено в ТК РФ или при передаче данных третьим лицам. Например, когда:

1. Вы хотите запросить сведения о жилищных условиях работника, чтобы понимать, в каком жилье он нуждается. Это бывает нужно, когда в трудовом договоре есть дополнительное условие о предоставлении квартиры для проживания на время исполнения трудовых обязанностей.
2. Вы передаёте кадровое делопроизводство или бухучёт на аутсорсинг.
3. Вам нужна фотография работника на пропуск для прохода на рабочее место.
4. Вы хотите разместить персональные данные работника на корпоративном сайте, например, его фото, должность, сведения об образовании и т. д.

В согласии на обработку персональных данных нужно прописать (п. 4 ст. 9 закона № 152-ФЗ):

• ФИО и адрес работника;
• серию и номер паспорта, дату выдачи и кем выдан;
• наименование или ФИО работодателя, его адрес;
• для какой цели понадобилось согласие;
• список информации для обработки;
• какие действия будут производиться с этими данными;
• способы обработки;
• срок действия согласия и как его отозвать.

Согласие можно оформлять на бумаге с собственноручной подписью работника или в виде электронного документа, подписанного ЭП.

Когда вы публикуете в интернете информацию о работниках — это распространение персональных данных неограниченному кругу лиц. В этом случае надо получить отдельное согласие — на распространение. Его оформляют с учётом требований Роскомнадзора и ст. 10.1 закона № 152-ФЗ.

Образец согласия на распространение персональных данных

Как можно получать информацию о работниках

Все персональные данные работника нужно получать у него. Но иногда за информацией приходится обращаться к другим физлицам или организациям. Например, чтобы уточнить, нет ли у работника судимости, делают запрос в МВД. Или, чтобы проверить подлинность документов об образовании, обращаются в учебное заведение.

Если персональные данные можно получить только у третьей стороны, предварительно вы должны уведомить об этом работника и взять у него письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении напишите:

• какую информацию вы хотите запросить у третьих лиц и для какой цели;
• у кого и как вы будете её получать.

Образец уведомления

Образец согласия на получение ПД от третьих лиц

Не любую информацию о сотрудниках разрешено получать работодателю. Она должна относиться к работе и к тому, что влияет на её выполнение. Например, нельзя узнавать о религиозных или политических взглядах. Информацию о состоянии здоровья работника можно запрашивать только для того, чтобы узнать сможет ли он выполнять трудовые обязанности.

В рекомендательных письмах с прошлых мест работы, в анкетах и резюме кандидатов на вакантную должность тоже содержатся персональные данные. Проверка такой информации — это обработка персональных данных физлица, с которым вы не связаны трудовыми отношениями. Поэтому сначала нужно получить на это согласие.

Образец согласия от кандидата на вакансию

Также его нужно получить, если вы хотите запросить дополнительную информацию или что-то уточнить у бывших работодателей соискателя.

Есть исключения. Согласие не потребуется, если соискатель:

• пришёл от кадрового агентства, с которым он заключил договор на услуги по поиску работы;
• сам разместил своё резюме в интернете и оно доступно неограниченному кругу лиц.

Если же соискатель прислал вам резюме по электронной почте, нужно подтвердить, что он передал свои персональные данные по своей инициативе. Подтверждением может быть приглашение на собеседование или ответное письмо по электронке.

Как защищать персональные данные

Работодатель обязан сохранять конфиденциальность персональных данных и беречь от несанкционированного использования или утраты. Где их хранить и как защищать каждый решает самостоятельно, с учётом требований, установленных Правительством РФ.

Например, для защиты персональных данных:

• ограничивают доступ к личным делам работников и составляют список тех, у кого есть на это право;
• назначают ответственного за обработку персональных данных;
• в трудовые договоры с сотрудниками, которым для работы необходим доступ к персональным данным, прописывают условие о неразглашении такой информации;
• каждому работнику присваивают свой логин и пароль для входа в программы и сервисы, в которых хранятся или обрабатываются персональные данные;
• устанавливают антивирусные программы и регулярно их обновляют и т. д.

Что будет, если нарушить закон о персональных данных

Работу с персональными данными контролирует Роскомнадзор. Он проверяет организации и ИП:

• планово — план проверок есть на сайте Роскомнадзора;
• внепланово — по жалобам физлиц или по собственным наблюдениям.

По новому порядку проведения проверок операторам персональных данных Роскомнадзор присваивает разные категории риска: низкий, умеренный, средний, значительный и высокий. От этого зависит количество и виды плановых проверок.

Если работодатель обрабатывает персональные данные не по требованиям законодательства или не соблюдает указанные им цели обработки, ему грозят штрафы по ч. 1 ст. 13.11 КоАП РФ:

• для организаций — от 60 до 100 тыс. руб.;
• для должностных лиц (например, руководителя организации) и ИП — от 10 до 20 тыс. руб.

За повторное нарушение штрафы побольше:

• для организаций — от 100 до 300 тыс. руб.
• для должностных лиц — от 20 до 50 тыс. руб.;
• для ИП — от 50 до 100 тыс. руб.

За обработку персональных данных без письменного согласия в случаях, когда его нужно было получить, штрафы по ч. 2 ст. 13.11 КоАП РФ:

• для организаций — от 30 до 150 тыс. руб.;
• для должностных лиц и ИП — от 20 до 40 тыс. руб.

Такие же санкции будут, если оформить согласие не по установленным требованиям. За повторное нарушение штрафы увеличиваются: для ИП до 300 тыс. руб., для юрлиц до 500 тыс. руб. и для должностного лица до 100 тыс. руб.