Защита персональных данных: какие сведения не вправе разглашать бухгалтер
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).
К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).
Круг сведений о заработной плате
Понятие «заработная плата» включает в себя не только должностной оклад или тарифную ставку работника, но и положенные ему выплаты компенсационного и стимулирующего характера (надбавки, доплаты, премии) (ч. 1 ст. 129 Трудового кодекса РФ).
Доступ к персональным данным
Персональные данные относятся к информации, доступ к которой ограничен (ст. 2, 3, 5 и 6 Закона № 152-ФЗ).
В каких случаях персональные данные можно сообщить третьему лицу
Персональные данные предоставляют третьим лицам, когда необходимо предотвратить угрозу жизни и здоровью работника и в других ситуациях, установленных Трудовым кодексом или иными федеральными законами (ст. 88 ТК РФ, ст. 7 Закона № 152- ФЗ).
В каких случаях персональные данные нельзя передать третьему лицу
В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.
Так, нельзя передавать данные о работнике, если:
— с запросом обратился человек или организация, не уполномоченные федеральным законом на получение таких сведений. Например, запросивший персональные данные не является государственным инспектором труда, прокурором, сотрудником правоохранительных органов или органов безопасности и т. п.;
— нет письменного согласия работника на предоставление сведений о нем лицу, обратившемуся с запросом. Если сотрудник не дал согласие на передачу персональных сведений никому из родственников, работодатель или его представитель не вправе передавать персональные данные работника его жене.
Требование супруги предоставить ей сведения о зарплате мужа также не является основанием для предоставления персональных сведений без согласия работника. Что подтверждают и специалисты Роскомнадзора в письме от 07.02.2014 № 08КМ-3681.
Защита персональных данных и ответственность за их разглашение
В законодательстве установлены различные виды ответственности за разглашение персональных данных. Работники бухгалтерии в силу своих должностных обязанностей имеют доступ к персональным данным работников компании (в частности, к сведениям об их заработной плате).
Дисциплинарная ответственность
Если персональные данные работника не сохранил в секрете бухгалтер компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).
Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:
— сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;
— они стали известны работнику в связи с исполнением им трудовых обязанностей;
— уволенный работник дал обязательство не разглашать такие сведения.
Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.
Административная ответственность
За разглашение информации о персональных данных работников на виновника может быть наложен административный штраф в размере, предусмотренном статьей 13.14 КоАП РФ, а именно от 4000 до 5000 руб.
Как корректно отказать в предоставлении сведений
В компании должен быть разработан и утвержден локальный нормативный акт, в котором регламентируется порядок обработки, хранения, использования и защиты персональных данных работников, — положение о персональных данных работников (ст. 8, п. 7 и 8 ст. 86, ст. 87 и 88 ТК РФ).
В нем, в частности, необходимо прописать порядок передачи персональных данных работников третьим лицам.
Запрос в письменной форме
В положении о персональных данных работников целесообразно установить, что компания рассматривает только письменные запросы о предоставлении персональных данных, поскольку при устном обращении сложно идентифицировать лицо, которое обращается с запросом о предоставлении персональных данных работника. Образец запроса смотрите ниже.
Письменное согласие работника
В отдельном пункте положения о персональных данных работников следует указать, что информация может быть предоставлена родственникам или членам семьи только с письменного согласия самого работника (за исключением случаев, предусмотренных законодательством).
Обратите внимание: работник сам вправе определить, какому лицу (организации) он готов предоставить свои персональные данные. Необязательно, что в перечень этих лиц попадет супруга работника. Образец письменного согласия работника на предоставление его персональных данных смотрите ниже.
Уведомление об отказе
В положении о персональных данных также стоит описать порядок действий уполномоченных представителей компании, если в силу нормы закона на запрос не может быть дан положительный ответ. В этом случае обратившемуся лицу бухгалтер выдает письменное уведомление об отказе в предоставлении персональных данных работника.
В уведомлении можно будет сослаться на статью 88 Трудового кодекса и соответствующий пункт внутреннего положения о персональных данных работников. Образец уведомления смотрите ниже.
Ответственность за разглашение персональных данных
Использование в любой деятельности идентифицирующих гражданина сведений налагает на любое физическое лицо, госслужащего, компанию или индивидуального предпринимателя обязанность обеспечивать безопасность ПДн в течение всего периода обработки. Это четко прописано в ФЗ-152, как и необходимость несения определенной ответственности за распространение личных данных без согласия владельца. Наказания могут варьироваться, в том числе нарушителя могут обвинить по статье УК РФ, что влечет за собой серьезные последствия, начиная от внушительного штрафа, заканчивая лишением свободы, арестом, принудительными и обязательными работами в течение определенного периода, а также лишением права заниматься той или иной деятельностью либо занимать некоторые должности.
Чтобы не оказаться участником уголовного разбирательства в качестве обвиняемого, нужно знать, когда действует статья 137 УК о разглашении персональных данных. Не менее важно гражданам знать свои права и порядок действий, если они каким-либо способом обнаружили, что конфиденциальная информация была использована без предварительного согласия.
Разглашение и распространение персональных данных без согласия субъекта
Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.
Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.
Какая может быть ответственность за разглашение персональных данных гражданина?
Основание для наложения каких-либо санкций в отношении операторов, передающих ПДн третьим лицам, закреплено конфиденциальным статусом личной информации, что прописано в Статье 7 ФЗ-152. Еще одним документом, предписывающим сохранять информацию в тайне является Трудовой Кодекс, где присутствует отдельная статья про дисциплинарные проступки. Нормативно-правовая база РФ предусматривает несение нарушителем трех видов ответственности за распространение персональных данных:
- уголовной;
- административной;
- дисциплинарной.
При обвинении в рамках ТК максимум, что грозит человеку, — это увольнение, хотя часто руководство ограничивается замечанием или взысканием. Более серьезное наказание предусмотрено статьей 13 КоАП, которую недавно откорректировали, увеличив штрафы примерно в 10 раз. Примечательно, что за повторное нарушение полагается в раза больший штраф, чем за первичное невыполнение нормативов ФЗ-152. Значительные проблемы возникают у тех, чьи действия интерпретируют как нарушение положений Уголовного Кодекса.
Статья 137 УК РФ: наказание за разглашение персональных данных
Изначально следует отметить, что уголовная ответственность может наступить, если речь идет именно о разглашении личной информации, например, о состоянии здоровья, интимной сфере, образе жизни и т.д. Вид и серьезность наказания определяются в зависимости от исполнителя правонарушения, способа распространения сведений и последствий, к которым привели незаконные действия нарушителя. Гораздо проще наказать тех, кто сообщает конфиденциальные сведения в публичных выступлениях либо через средства массовой информации.
Основные меры наказания прописаны в статьях 137 и 138 УК РФ:
- за распространение данных, составляющих личную или семейную тайну — штраф до 200 тысяч рублей (или доход за последние 1,5 года), обязательные или принудительные работы продолжительностью до 360 часов и до 2 лет, соответственно (во втором случае нарушителя лишают права до 3 лет заниматься определенной деятельностью), арест до 4 месяцев, тюремное заключение максимум на 2 года;
- за аналогичные действия в случае использования служебного положения — до 6 месяцев ареста, лишение свободы на 4 года (максимум), принудительные работы максимум в течение 4 лет с лишением возможности заниматься той или иной деятельностью до пяти лет, штраф тысяч рублей либо в размере полученного за прошлые года официального дохода;
- за разглашение сведений, касающихся субъектов младше 16 лет — тысяч штрафа, лишение права заниматься определенной деятельностью до пяти лет, принудительные работы до пяти лет, 6 месяцев ареста, заключение в тюрьму на срок до 5 лет;
- за несоблюдение тайны переписки и переговоров (в любом формате — по телефону, электронной почте, в рамках видеоконференций и т.д.) — штраф до 80 тысяч рублей либо в размере полученного за прошлые полгода дохода/зарплаты, исправительные или принудительные работы в течение 1 года или 360 часов, соответственно.
Действия субъекта в случае незаконного распространения ПДн
Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:
- обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
- подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
- обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.
Разобраться в том, по какой статье идентифицировать нарушение и правильно составить претензию на распространение личной информации без согласия владельца, помогут квалифицированные юристы. Есть ряд требований к содержанию, оформлению и подаче жалоб, исковых и других заявлений. Для наиболее эффективной защиты прав есть смысл пойти сразу несколькими путями, продумав обвинения таким образом, чтобы обращения в разные инстанции дополняли друг друга.
Как работать с персональными данными работников в 2023 году
Казалось бы, есть всего один закон 152-ФЗ о персональных данных. Но в нем все так описано, что тонут даже юристы. Не всегда понятно, может ли работодатель не уведомлять Роскомнадзор, когда нужно согласие работника на обработку персональных данных, а когда можно работать без него. Нужно ли согласие на обработку от соискателя.
Что вы узнаете
Что считается персональными данными работника
Персональные данные — это ФИО работника, ИНН, СНИЛС, телефон, размер зарплаты и даты рождения его детей. Это любая информация, прямо или косвенно относящаяся к сотруднику, как указано в ст. 3 закона о персональных данных 152-ФЗ. Даже просто ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.
Кадровик сталкивается с персональными данными, когда получает резюме соискателя, сообщает охраннику данные кандидата для оформления пропуска, заполняет трудовой договор или отправляет СЗВ-ТД в Пенсионный фонд.
Любые действия кадровика с персданными работника называются обработкой персональных данных. По п. 3 ст. 3 закона о персданных обработка персданных включает в себя сбор, запись, систематизацию, использование, распространение, удаление данных.
Как наказывают работодателей за нарушения в работе с персональными данными
Как только работодатель приступил к обработке персданных, он обязан их защищать, хранить и обрабатывать по правилам закона о персональных данных, гл. 14 Трудового кодекса. Иначе Роскомнадзор оштрафует по жалобе работника или при проверке. За грубейшие нарушения возможна уголовная ответственность.
Вот популярные нарушения работодателей в работе с персданными.
Нарушение № 1. Не получают согласие работника на обработку данных, когда это нужно
Компания публикует фотографии работников на сайте компании. Это распространение информации неограниченному кругу лиц. Нужно оформить согласие работника на распространение.
Еще пример. Работодатель перечисляет зарплату работника на счет его супруги. Реквизиты счета прописаны в допсоглашении к трудовому договору с работником. Это обработка данных супруги без ее согласия. Если согласия супруги не предоставить, Роскомнадзор оштрафует при проверке.
Штраф за нарушение — до 150 тыс. рублей компании, до 40 тыс. рублей руководителю по ч. 2 ст. 13.11 КоАП РФ.
Нарушение № 2. Обрабатывают данные в непредусмотренных законом случаях
Магазин собирает и хранит справки работников об отсутствии судимости. Это обработка не предусмотренной законом информации, за которую Роскомнадзор может оштрафовать.
А вот школа имеет право запрашивать у работников такие справки и хранить их, поскольку это ее обязанность по ст. 65 ТК РФ.
Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.
Нарушение № 3. Получают данные для одной цели, а используют для другой
Работодатель взял копию диплома, чтобы оформить прием. А потом опубликовал его на сайте компании, чтобы подтвердить экспертность своих сотрудников. Его оштрафуют, потому что цель обработки достигнута — прием оформлен, а документ не уничтожен.
Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.
Нарушение № 4. Не публикуют политику обработки персональных данных
Политика обработки персданных нужна обязательно, и у работников должен быть к ней свободный доступ. Кто-то вывешивает политику на доске при входе в офис, кто-то публикует ее на сайте. Политика обязательно должна быть на сайте, если там выложены вакансии с возможностью откликнуться на них через сайт.
Штраф за нарушение до 60 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 3 ст. 13.11 КоАП РФ.
Нарушение № 5. Не вовремя реагируют на запрос гражданина о его персональных данных
Работодатель должен ознакомить работника с обрабатываемыми пересданными в день обращение или в течение 30 дней с даты получения запроса работника. Иначе оштрафуют.
Для защиты компании работодатели прописывают в политике обработки адрес для таких запросов. Это помогает избежать ситуации, когда гражданин пишет запрос на электронку отдела продаж и его запрос долго передают ответственному за обработку персданных.
Штраф за нарушение до 80 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 4 ст. 13.11 КоАП РФ.
Нарушение № 6. Не уничтожают персональные данные работника по его требованию
Гражданин и Роскомнадзор вправе письменно потребовать уточнить, заблокировать или уничтожить персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Так, одна компания размещала на сайте информацию о своих сотрудниках-специалистах. После увольнения работник потребовал удалить информацию. А компания отказалась и получила максимальный на тот момент штраф 25 тыс. рублей. С 21 марта 2021 штрафы увеличили. См. Постановление 2 КСОЮ от 30.11.2021 № 16-9529/21.
Штраф за нарушение до 90 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 5 ст. 13.11 КоАП РФ.
Нарушение № 7. Хранят данные в базах данных, находящихся не в России
Компания Twitter, Inc. отказалась хранить данные российских пользователей на территории РФ. Ее оштрафовали на 4 млн рублей. См. Постановление 2КСОЮ 16-3770/2020 от 07.07.2020.
Штраф за нарушение до 6 млн рублей для компаний по ч. 8 ст. 13.11 КоАП РФ.
Как наказывают кадровиков за нарушения обработки персданных
Вот представьте: кадровик, ответственный за обработку персданных работников, сообщает кому-то по телефону или электронной почте о психическом заболевании работника, его частной жизни. Или айтишник допускает виновную утечку данных работников.
За такие нарушения сотрудников могут привлечь к уголовной ответственности. По ч. 2 ст. 137 УК РФ возможны штрафы до 300 тыс. рублей, лишение права заниматься определенной деятельностью и даже лишение свободы.
Должен ли работодатель уведомлять Роскомнадзор
По ч. 1 ст. 22 закона о персданных все компании обязаны уведомить Роскомнадзор о своем намерении обрабатывать данные.
Но работодатель может не уведомлять Роскомнадзор, если обрабатывает данные:
- в соответствие с трудовым законодательством;
- для однократного пропуска на территорию;
- на основании согласия работника на обработку данных, разрешенных им для распространения (не путайте с согласием на обработку);
- в иных случаях, указанных в ч. 2 ст. 22 того же закона.
Например, работодатель получает номер паспорта для приема на работу, может не уведомлять. Но должен уведомить Роскомнадзор, если запрашивает у работников справки о судимости. В первом случае работодатель собирает информацию «в соответствии с трудовым законодательством», во втором «на основании согласия на обработку данных» (но не согласия на обработку данных, разрешенных для распространения).
Автосалон не подал уведомление и ошибся
Один автосалон не отправлял уведомление в Роскомнадзор, считал, что подпадает под исключения из ч. 2 ст. 22 закона о персданных, поскольку:
- обрабатывает данные работников только в пределах трудового законодательства;
- получает данные клиентов только в рамках договоров купли — продажи машины;
- пропускает на территорию по разовым пропускам.
Роскомнадзор потребовал подать уведомление. Автосалон не учел следующее:
- Работники автосалона в программе передают дилерам свои персональные данные и данные покупателей.
На передачу данных нужно согласие и уведомление Роскомнадзора.
Онлайн-магазин не подавал уведомление и был прав
Еще пример. Онлайн-магазин подпадает под исключения ч. 2 ст. 22 закона 152-ФЗ, поскольку:
- использует резюме кандидатов, полученные от кадровых агентств, и обрабатывает персданные соискателей в пределах трудового законодательства;
- обрабатывает сведения о работниках, пусть и в информационной системе, но в пределах трудового законодательства;
- применяет программы для обработки данных клиентов при дистанционной продаже товаров;
- получает данные покупателей в рамках договоров купли-продажи;
- не рассылает покупателям рекламные рассылки.
Не нужно уведомлять Роскомнадзор.
Когда уведомлять Роскомнадзор и как
Уведомлять нужно до начала обработки данных. До получения первого резюме и до приема работников. На момент написания статьи штраф за несвоевременное уведомление невысокий — до 500 рублей для руководителя и до 5 тыс. рублей для компании по ст. 19.7 КоАП РФ.
Уведомление заполняют на сайте Роскомнадзора. Отправляют на бумаге или электронно. После получения уведомления Роскомнадзор включает компанию в реестр операторов. Правила уведомления описаны в методических рекомендациях, утвержденных приказом Роскомнадзора 94 от 30.05.2017.
Когда не нужны согласия на обработку персональных данных
По ч. 1 ст. 6, ст. 9 закона 152-ФЗ компании должны запрашивать у граждан согласие на обработку персданных, как только получают к ним доступ.
Но есть ситуации, когда компании работодателей могут не получать согласия работников на обработку персданных:
Обрабатывают данные для исполнения заключенного с работником трудового договора (пп. 5 ч. 1 ст. 6 закона 152-ФЗ).
Без согласия кадровик внесет паспортные данные в трудовой договор, а бухгалтер сохранит номер карты для перечисления зарплаты. Но согласие потребуется, если компания сообщает данные работника в банк для открытия зарплатной карты.
Обрабатывают данные для исполнения возложенных на работодателя обязанностей, функций и полномочий (пп. 2 ч. 1 ст. 6 закона 152-ФЗ).
Информацию о размере одежды сварщиков работодатель обрабатывает без согласия, потому что по требованиям охраны труда обязан выдавать им средства индивидуальной защиты. А если компания собирает размеры для выдачи рубашек корпоративного цвета, тогда нужно согласие работников.
Без согласия работодатель передает данные работника в налоговую, Пенсионный фонд, ФСС, трудовую инспекцию и военный комиссариат. Но должен получить у работника письменное согласие для передачи данных водителя-работника своему контрагенту (ч. 2 ст. 88 ТК РФ).
Обработка сведений о состоянии здоровья работника связана с возможностью выполнения трудовой функции (п. 2.3 и 3 ч. 2 ст. 10 закона 152-ФЗ).
Школа обрабатывает данные о психическом здоровье учителей без согласия, поскольку обязана это делать по ч. 2 ст. 331 ТК РФ. Кафе обрабатывает данные о медосмотрах поваров, поскольку иначе не может допустить их к работе. В остальных случаях нужно получить согласие работников.
Данные нужны по условиям коллективного договора, ПВТР или других локальных нормативных актов компании (абз. 2 п. 5 разъяснений Роскомнадзора).
Завод обрабатывает данные работников для организации пропускного режима без согласия, если порядок организации предусмотрен ЛНА работодателя.
Обязанность по опубликованию данных в сети Интернет предусмотрена законом (п. 1 разъяснений Роскомнадзора).
Больница без согласия врачей публикует на сайте данные об их образовании, потому что обязана это делать в силу закона. А вот кафе может рассказывать об образовании шеф-повара только с его согласия.
Обрабатываются данные близких родственников работника для заполнения карточки Т-2, оформления соцвыплат, получения алиментов (п. 2 разъяснений Роскомнадзора).
Но нельзя без согласия работников собирать сведения о датах рождения детей для вручения подарков к Новому году. Нельзя без согласия разглашать сведения о доходах сотрудника, даже если об этом просит его бывшая супруга для взыскания алиментов.
Обрабатываются данные уволенных работников для выполнения требований налогового, бухгалтерского учета (п. 5 разъяснений Роскомнадзора).
Работодатели без согласия хранят заявления уволенных работников о предоставлении налоговых вычетов с копиями свидетельств о рождении детей. Поскольку по ч. 3 ст. 24 НК РФ работодатели, как налоговые агенты, обязаны 5 лет хранить документы, необходимые для исчисления налогов.
2 вида согласий работников на обработку персданных
Выше мы выявили случаи, когда можно обрабатывать данные без согласия работников. Во всех остальных ситуациях согласие нужно.
Есть 2 вида согласий на обработку:
- Согласие на обработку персональных данных.
- Согласие на обработку персданных, разрешенных работником для распространения.
Согласие на обработку персональных данных
Это «то самое, основное» согласие, про которое многие знают. В текст включают перечень персональных данных и список действий работодателя, которые он может делать с данными. Тут важно упомянуть нужные и не написать лишние данные, которые работодателю не нужны. Поэтому текст согласия для работников отличается от согласий для клиентов компании.
В этом же документе при необходимости прописывают согласия на обработку специальных категорий персональных данных (о национальности, состоянии здоровья, религиозных взглядах), биометрических (отпечатки пальцев, фотографии, видеоизображения) и на трансграничную передачу данных (передача данных кандидата на согласование учредителю компании заграницей).
Текст согласия можно оформить в виде отдельного документа или включить в состав трудового договора, п. 5 разъяснений Роскомнадзора. Его составляют по правилам ст. 9 закона о персональных данных.
Когда нужно
Работодатель должен получить согласие на обработку в следующих случаях:
Запрашивает данных больше, чем ему нужно по трудовому законодательству.
Нужно согласие | Не нужно |
---|---|
Личный телефон работника для корпоративных визиток | ФИО и паспортные данные. Они нужны для оформления трудового договора |
Фотография для пропуска | Номер диплома об образовании. Нужен для заполнения карточки Т-2 |
Личный электронный адрес для внутреннего справочника работодателя | Личный электронный адрес для выпуска неквалифицированной электронной подписи при кадровом ЭДО |
Получает персданные у третьей стороны, п. 3 ст. 86 ТК РФ.
Например, кадровик сомневается в достоверности диплома и направляет запрос в вуз. Или получает отзыв о соискателе у его бывшего работодателя.
До отправки запроса нужно получить у работника письменное согласие.
Обрабатывает информацию о национальности, состоянии здоровья, политических взглядах, религиозных убеждениях и иные специальные категории ПД, непосредственно связанные с вопросами трудовых отношений, п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 закона о персданных.
Например, не нужно согласие педагога на обработку сведений о его состоянии здоровья, поскольку по ч. 2 ст. 331 ТК РФ работодатель не имеет права допускать к педагогической деятельности работников с психическими заболеваниями.
Сообщает персданные работника в коммерческих целях, абз. 3 ст. 88 ТК РФ.
Например, передает ФИО работника-водителя своим подрядчикам.
Обрабатывает биометрические персданные, ст. 11 закона о ПД.
Например, компания использует фотографии, отпечатки пальцев для организации доступа на территорию, иные сведения, которые характеризуют физиологические и биологические особенности человека.
Осуществляет трансграничную передачу персданных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персданных, ч. 4 ст. 12 закона о ПД.
Например, направляет анкеты соискателей учредителю компании в государство, не обеспечивающее защиту ПД.
Вносит персданные работников в общедоступные справочники, адресные книги, ч. 1 ст. 8 закона о ПД.
Например, издает телефонный справочник работников компании и распространяет его среди посетителей компании.
Согласие на обработку персданных, разрешенных работником для распространения
Оно потребуется, если работодатель предоставляет данные работника неограниченному кругу лиц. Например, публикует фотографию работника на доске почета или на сайте компании.
Это самостоятельный документ, он оформляется отдельно от предыдущего согласия по требованиям ст. 10.1. закона о ПД и приказа Роскомнадзора 18 от 24.02.2021. Шаблон согласия можно составить онлайн, на сайте Роскомнадзора.
Когда нужно
Работодатель должен получить у работника согласие на обработку персональных данных, разрешенных работником для распространения, если раскрывает персональные данные работников неопределенному кругу лиц, п. 5 ст. 3 закона о ПД. И согласие не нужно, если распространение происходит по требованию закона.
Информация о дипломе на сайте компании
Нужно согласие работников на публикацию на сайте их ФИО, данных об образовании.
Без согласия врачей больница публикует ФИО медработников, их должности, даты выдачи диплома об образовании, специальности, квалификации, срока действия сертификата специалиста. Поскольку обязана это делать по подп. 7 ч. 1 ст. 79 закона 323-ФЗ от 21.11.2011 Об основах охраны здоровья граждан.
Без согласия учителей школа публикует на сайте ФИО, должность, преподаваемые предметы и информацию об образовании педагогического работника. Поскольку обязана это делать по п. 11 Правил, утв. Постановлением Правительства 1802 от 20.11.2021.
Публикация ФИО и телефона
Нужно согласие менеджера на публикацию его ФИО, электронной почты, телефона.
Но без согласия администрация города публикует ФИО и телефон должностного лица, которое обязано вести приемы граждан. Это предусмотрено пп. б ч. 1 ст. 13 закона 8-ФЗ от 09.02.2009 об обеспечении доступа к информации о деятельности госорганов и ОМСУ.
Предоставление персданных по запросу адвоката
Нужно согласие работника на передачу его данных третьим лицам, в том числе адвокату.
Но согласие не нужно, если адвокат действует по поручению работника. Например, по доверенности от этого работника, на основании соглашения об оказании юридической помощи с этим работником или ордера на оказание услуг этому работнику. См. п. 1 ст. 6.1 закона 63-ФЗ от 31.05.2002 «Об адвокатской деятельности и адвокатуре в РФ», Постановление Костромского областного суда 4А-97/2018 от 21.03.2018.
Предоставление персданных по запросу полиции
Нужно согласие, если запрос полицейского не соответствует закону, не содержит нужных реквизитов, подписан неуполномоченным лицом.
Но без согласия работника работодатель обязан передать персональные данные полиции, если запрос корректно оформлен и поступил в связи с расследованием уголовных дел, административных правонарушений, проверкой зарегистрированных сообщений о преступлениях (ч. 1 ст. 13 закона о полиции 3-ФЗ от 07.02.2011). Работодатели обязаны предоставлять персональные данные граждан по запросам госорганов в случаях, установленных федеральными законами (п. 2 ст. 88 ТК РФ).
Сколько хранить согласия о персональных данных
Согласия на обработку персональных данных хранят 3 года после истечения срока действия согласия или его отзыва.
К примеру, согласие дано на 1 год, значит, уничтожаем его через 4 года после выдачи. Если работник отзовет согласие досрочно, тогда уничтожаем через 3 года после отзыва. Эти правила установлены ст. 441 приказа Росархива 236 от 20.12.2019 о сроках хранения всех кадровых документов.
Может ли работник отозвать согласие на обработку персданных
Может. Любой человек имеет право отозвать согласие на обработку, подав письменное заявление. Это его право по ч. 2 ст. 9 закона 152-ФЗ.
Тогда работодатель сможет продолжить обработку персданных без согласия в пределах трудового законодательства и по иным основаниям, когда обработка возможна без согласия. Такие основания мы разобрали выше, они перечислены в п. 2–11 с. 1 ст. 6, с. 2 ст. 10, ч. 2 ст. 11 закона о персданных.
В случае отзыва согласия работодатель сможет издавать приказы, распоряжения, рассчитывать работнику зарплату. Но фотографию работника с сайта или доски почета придется убрать.
Нужно ли согласие для обработки персданных уволенного сотрудника
Согласие не требуется. Работодатель вправе обрабатывать данные уволенного работника для целей налогового и бухгалтерского учета.
Могут ли согласия на обработку быть электронными
Согласие работника на обработку персональных данных может быть подписано электронной подписью. Это предусмотрено ч. 4 ст. 9 закона 152-ФЗ. Есть 3 вида электронных подписей работников: простая, неквалифицированная и квалифицированная. Для согласий можно использовать любой вид электронной подписи. Как выбрать электронные подписи для сотрудников — читайте в статье.
Трудовой кодекс разрешает подписывать электронно не только согласия на обработку персональных данных, но и трудовые договоры, приказы об отпусках и должностные инструкции. Как перейти на электронное взаимодействие с работниками — читайте в статье. Как обмениваться с работниками электронными согласиями и другими кадровыми документами — читайте в статье.
Как работать с персональными данными сотрудников
Работодатель получает от сотрудников много личных сведений — ФИО, фотографии, адрес проживания, номер телефона, e-mail, реквизиты счета в банке. Все это персональные данные, при работе с ними нужно соблюдать требования закона.
Если нарушить закон, можно получить серьезные штрафы. Например, если повесить фото сотрудника на доску почета без его разрешения, можно получить штраф от 20 000 ₽.
Мы уже рассказывали, как работать с персональными данными клиентов. Порядок работы с данными сотрудников почти такой же. Поэтому рекомендуем изучить статью по ссылке на полях — там подробно рассказываем все базовые правила.
Здесь собрали нюансы работы с персональными данными сотрудников. Статья будет полезна бизнесу, который только планирует нанять первого работника, работодатели со стажем вряд ли найдут здесь что-то новое.
Кому можно передавать персональные данные
Работодатель может передавать персональные данные сотрудника без его согласия третьим лицам в случаях, которые указаны в законе. Например, при расследовании уголовного преступления правоохранительные органы могут потребовать предоставить необходимую информацию о сотруднике.
Еще персональные данные можно передавать в пределах компании между отделами. Процесс передачи необходимо прописать в локальном акте, в нем же нужно перечислить отделы компании, которые могут иметь доступ к данным. С этим актом сотрудник должен ознакомиться во время подписания трудового договора.
Где хранятся персональные данные и как их стереть
Как именно надо хранить данные работников, закон не уточняет. Главное — чтобы они не утекли в сеть или не попали в руки людям, у которых нет прав на доступ к данным. В зависимости от вида персональных данных различают два способа их хранения:
- бумажный;
- электронный.
Бумажные документы. На каждого сотрудника заводят папку-накопитель, в которую подшивают документы с персональными данными, например трудовой договор. Бумажные документы надо хранить в специально оборудованном помещении или сейфе под ключ, за сохранность отвечает главный бухгалтер или начальник отдела кадров.
Электронные базы данных. Работодатели могут хранить персональные данные сотрудников в электронных базах. Эти данные могут включать информацию о зарплате, налогах, стаже работы. Сохранность в электронных базах лучше поручить специалистам. Если у вас маленькая компания и нет в штате экспертов по безопасности, можно взять консультацию и как минимум ставить пароли на рабочие компьютеры.
Часто компании дублируют информацию и хранят ее одновременно на бумаге и в электронной форме.
Ненужные документы просто выбросить или отправить на черновики нельзя. Кроме того, их нельзя хранить на всякий случай — это нарушение закона. Все ненужные бумажные документы надо уничтожить так, чтобы невозможно было взять из них данные. Для этого можно воспользоваться шредером или мелко порвать документы. Электронные документы с серверов нужно удалить вместе со всеми копиями.
Кого касаются правила работы с персональными данными
По закону все, кто получают и обрабатывают личные сведения сотрудников, — операторы персональных данных. Ими могут быть ИП, компании или физлица. Все операторы должны соблюдать закон «О персональных данных». Вот ключевые обязанности операторов:
- собирать персональные данные только с согласия человека или без согласия, если сведения нужны по закону, например для подачи в военкомат или оформления трудового договора;
- использовать персональные данные только в целях, указанных в согласии;
- хранить персональные данные в безопасности;
- уничтожать персональные данные, когда достигли цели, для которой их собирали.
Далее говорим только про обязанности работодателя в отношении сотрудников.
Когда работодателю нужно согласие на обработку персональных данных сотрудников
Чтобы нанять человека на работу, оформить пропуск в офис, подключить к корпоративным базам, начислить зарплату на карту, нужны его персональные данные. Например, ФИО, реквизиты паспорта, номер телефона, реквизиты банковского счета.
Общее требование закона «О персональных данных» — получать личную информацию о человеке можно только с его согласия. Например, когда бизнесу нужен e-mail клиента для отправки ему рассылки, всегда просят подтвердить согласие на передачу данных. Без согласия этого делать нельзя.
А вот у сотрудников бизнесу не всегда нужно получать согласие. Если данные понадобились для целей, которые указаны в законах, — согласие не требуется.
❌ Согласие не нужно | Основание в нормативном документе |
---|---|
Для оформления трудового договора | Документы для оформления трудового договора — ст. 65 ТК РФ |
Для ведения воинского учета | ст. 8 закона от 28.03.1998 № 53-ФЗ |
Нельзя без согласия получить у сотрудника больше данных, чем разрешает закон. Например, для оформления трудового договора нужны: паспорт, трудовая книжка, СНИЛС, документы воинского учета, диплом — при условии, что работа требует профильного образования. А вот если работодатель дополнительно захочет посмотреть кредитную историю сотрудника, на это нужно его согласие.
Есть данные, которые работодатель вообще не может получать у работника. Например:
- биометрические данные — анализы ДНК, группа крови, отпечатки пальцев;
- об интимной жизни — с кем встречается или живет;
- о политических взглядах, религиозных, философских убеждениях — нельзя спросить у сотрудника, поддерживает ли он коммунистов или верит ли в Бога;
- о его членстве в общественных объединениях и профсоюзах;
- о здоровье;
- о национальности, расе.
Исключение — если закон предусматривает получение таких специальных данных. Например, при трудоустройстве в кафе официанты и повара должны показать медицинскую книжку, то есть поделиться информацией о здоровье.
Также согласие нужно, если собираетесь передавать данные работника другим людям, например контрагенту. Но если данные спросит официальное лицо — полицейский, прокурор, скорая помощь, — разрешения можно не спрашивать.
Что делать, если только собираетесь нанять первого сотрудника
Перед тем как нанимать работников, нужно:
- составить положение о защите персональных данных работников;
- выбрать ответственного за персональные данные;
- подготовить форму согласия на обработку персональных данных;
- уведомить Роскомнадзор;
- обеспечить сохранность данных.
Составить положение о защите персональных данных работников. Это локальный нормативный акт. Закон не регламентирует, как он должен выглядеть — каждый работодатель составляет с учетом своей специфики. Главное, чтобы работник мог прочитать положение и понять:
- какие данные просит работодатель — ФИО супруга, имена и даты рождения детей, номер автомобиля;
- как работодатель получает данные — например, только лично у сотрудника и с его письменного согласия;
- кому могут передать его данные внутри компании — например, HR-специалисту, юристам, бухгалтерам, сотрудникам безопасности и гендиректору компании;
- как его данные хранят — например, данные на бумаге хранятся в отделе кадров, электронные — в 1С;
- что работодатель делает, чтобы данные не утекли — можно перечислить, какие сотрудники отвечают за сохранность данных, какие программы безопасности используете;
- какие у работника есть права — например, в любой момент ознакомиться со своими данными, которые хранит работодатель, корректировать свои данные, знать, как долго они будут храниться, когда их уничтожат.
Каждый работник должен прочитать положение и подписать лист ознакомления с ним. Далее сотрудник подписывает отдельное согласие на обработку данных. Другой вариант — включить такое согласие в трудовой договор.
Выбрать ответственного за персональные данные. Этот человек будет отвечать за сбор согласий с работников и хранение данных. Обычно это делает HR компании, но может любой другой работник, директор или ИП. Ответственного назначают приказом в свободной форме.
Подготовить форму согласия на обработку персональных данных. Каждый раз, когда нужны данные работника и закон не предусматривает их получения, нужно получать согласие. О том, как его составить, расскажем ниже.
Уведомить Роскомнадзор. Каждый новый работодатель должен уведомить Роскомнадзор, что собирается обрабатывать или передавать персональные данные сотрудников. Проще всего это сделать на Госуслугах или на сайте ведомства, если есть квалифицированная электронная подпись.
Отправлять уведомление нужно каждый раз, когда собираетесь запросить новые данные сотрудников — сделать это нужно в течение 10 рабочих дней. Допустим, сначала сообщили Роскомнадзору, что хотите узнать реквизиты счета, чтобы переводить туда зарплату. Если решите получить новую информацию, например узнать имена и даты рождения детей для новогодних подарков, нужно снова отправить уведомление.
Как получить согласие работника на обработку персональных данных
Получить согласие нужно письменно. Составить согласие можно в свободной форме, вот что в нем обязательно:
- данные работодателя — название компании или ФИО предпринимателя;
- место и дата составления документа;
- ФИО работника, его паспортные данные и сведения о месте жительства;
- какие именно персональные данные обрабатываете;
- в каких целях нужны данные работника — например, реквизиты карты для выплаты зарплаты;
- что будете делать с данными — хранить у себя или передавать другим;
- срок действия согласия — на какой срок нужны данные.
Можно разработать свой шаблон или взять шаблон Роскомнадзора.
Нельзя собирать данных больше, чем надо для достижения целей в согласии. Если цель — оформить сотруднику ДМС от компании, нужно получить согласие на передачу только паспортных данных. Запросить заодно медицинские справки нельзя — они не нужны для ДМС.
Что грозит работодателю за несоблюдение правил обработки персональных данных
Если нарушить правила закона «О персональных данных» или 14‑й главы трудового кодекса, работодателя могут оштрафовать. Например, недовольный работник может пожаловаться в Роскомнадзор или прокуратуру.
Штраф зависит от вида нарушения.
Какое правило нарушили | Штраф | Основание |
---|---|---|
Обрабатывали данные с иными целями, чем указаны в согласии | За первое нарушение: для ИП — от 10 000 до 20 000 ₽; |
для малых предприятий — от 30 000 до 50 000 ₽;
для средних и крупных компаний — от 60 000 до 100 000 ₽.
За повторное нарушение:
для ИП и малых предприятий — от 50 000 до 100 000 ₽;
для малых предприятий — от 15 000 до 75 000 ₽;
для средних и крупных компаний — от 30 00 до 150 000 ₽.
За повторное нарушение:
для ИП и малых предприятий — от 100 000 до 300 000 ₽;
для средних и крупных компаний — от 50 000 до 90 000 ₽.
За повторное нарушение:
для ИП и малых предприятий — от 50 000 до 100 000 ₽;
для малых предприятий — от 1500 до 2500 ₽;
Также работник может потребовать в суде компенсацию морального вреда за распространение фактов его частной жизни, например о разводе. Сумму такой компенсации определяет суд.
Частые вопросы по работе с персональными данными сотрудников
Собрали частые вопросы работодателей про работу с персональными данными сотрудников.
Распространяются ли эти правила на исполнителей по договорам ГПХ?
Да, но только если вам понадобились дополнительные персональные данные, не нужные для заключения договора. Так, ФИО и реквизиты паспорта можно использовать без согласия. А если, например, человек запросит стандартный вычет по НДФЛ на ребенка, согласие придется оформить — для передачи работодателю ФИО ребенка и реквизитов свидетельства о рождении.
Распространяются ли эти правила на сотрудников-иностранцев? Да.
Нужно ли получать согласие у кандидата на должность? Если нашли резюме в интернете, например на HeadHunter, получать разрешение не надо — человек сам разместил свои данные.
Если пригласили человека на собеседование, надо — обычно кандидаты рассказывают о себе уже больше деталей, чем указали в резюме.
В согласии с кандидатом нужно указать цель получения персональных данных — «для рассмотрения претендента на вакансию». Если кандидат в итоге не подойдет, его данные нужно уничтожить. Если хотите сохранить данные в резерв, нужно также прописать такое условие — «данные будут храниться, если в будущем снова готовы рассмотреть его кандидатуру».
Можно ли уволить сотрудника, если он отказывается подписать согласие на обработку персональных данных? Нет, нельзя. В случаях, когда данные нужны для трудоустройства, работодателю и так не нужно разрешение сотрудника.
Если нужно получить информацию у бывшего работодателя или из университета, нужно ли разрешение кандидата? Да, нужно.
Нужно ли получать согласие, чтобы переводить зарплату на карту? Да, нужно. По закону сотрудник не обязан получать зарплату только на карту.
Если не нашли ответ на свой вопрос, можете спросить в комментариях к статье.