arrowright arrowright

Персональные данные работников: что изменилось с 1 июля 2017 года

11.09.2017
Татьяна Гежа, 
главный эксперт-консультант ООО «ТЛС-ПРАВО»

С 01.07.2017 существенно повысилась ответственность за нарушения при обработке персональных данных. Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» внес изменения в статью 13.11 КоАП РФ. Новая редакция содержит дифференцированную шкалу штрафных санкций, вводится семь новых составов правонарушений. К ответственности будут привлекаться не только организации, но и должностные лица. Помимо тех организаций, которые обрабатывают персональные данные физических лиц — клиентов, данные изменения безусловно касаются и всех работодателей, которые обрабатывают персональные данные своих работников. Мы рассмотрим некоторые ситуации из практики, за которые работодателя могут привлечь к ответственности.

Персональные данные работников

В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), т. е. это любая информация о человеке, по которой его можно идентифицировать. В том числе: Ф.И.О., год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, доходы и другая информация.
Для того чтобы идентифицировать человека, порой достаточно иметь фамилию, имя и отчество и какую-нибудь дополнительную информацию, например, Ф.И.О. и номер телефона. В этом случае возможно идентифицировать личность. 
Если же, например, имеется только электронный адрес и телефон, то идентифицировать личность вряд ли получится. 
Чаще всего персональные данные, с которыми имеют дело кадровики, бухгалтеры, — это фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, номер телефона, семейное положение, образование, профессия.

Нужно ли брать согласие на обработку персональных данных при приеме на работу?

При заключении трудового договора в соответствии со ст. 65 ТК РФ работодатель получает от работника большой перечень персональных данных. К ним, в частности, относятся: данные документа, удостоверяющего личность, СНИЛС, трудовая книжка, данные об образовании, документы воинского учета и т. д. Все это персональные данные работника. 
Так как работник выступает стороной трудового договора, получать согласие на обработку его персональных данных при заключении трудового договора не нужно (п. 5 ст. 6 Закона от 27.07.2006 № 152-ФЗ «О персональных данных».) Также на это указывает Роскомнадзор в своих Разъяснениях «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Имеет ли право работодатель, получив персональные данные работника при заключении трудового договора, хранить в личном деле копии паспортов, военных билетов, дипломов и т. д.?

Если кадровая служба хранит в личных делах сотрудников копии паспорта, военного билета, Роскомнадзор при проведении проверки, может привлечь работодателя к ответственности в соответствии с ч. 1 ст. 13.11 КоАП РФ за обработку избыточных персональных данных работника в случаях, не предусмотренных законодательством РФ в области персональных данных. 
За это на юридическое лицо может быть возложен штраф в размере от 30 000 до 50 000 руб., а на должностное лицо — от 5 000 до 10 000 руб.
Данный вывод подтверждается судебной практикой (см. Постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013). 
В данном Постановлении, в частности указано: «…суд апелляционной инстанции сделал правильный вывод о том, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения. 
Хранение копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка на рабочем месте превышает объем обрабатываемых персональных данных работника и действующим законодательством не предусмотрено, это нарушает права и свободы гражданина, снижает уровень прав и гарантий работника, 
противоречит федеральному законодательству. 
При проведении проверки… сделан правильный вывод о том, что «организация <…> производит обработку избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением ч. 5 ст. 5 Закона № 152-ФЗ».

Обязана ли организация, арендующая офис в здании, в котором действует пропускной режим, направляя сторонней организации персональные данные работников в целях выдачи им пропусков на проход в здание, получать от них разрешение на передачу таких данных третьим лицам?

В соответствии со ст. 88 ТК РФ работодатель не должен сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами. 
В своем Письме от 13.05.2011 № 1302-6-1 Роструд разъясняет, что, если обработкой персональных данных работников занимается организация, не являющаяся стороной трудовых отношений, передача персональных данных работников данной организации для последующей обработки должна осуществляться с соблюдением ограничений, установленных ст. 88 ТК РФ. 
Это означает, что для оформления пропусков организация обязана получать от работников разрешение на передачу их персональных данных третьему лицу — сторонней организации. 
В противном случае к организации могут применить ч. 2 ст. 13.11 КоАП РФ: обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных <…> влечет наложение административного штрафа <…> на должностных лиц — от 10 000 до  20 000 руб.; на юридических лиц — от 15 000 до 75 000 руб.

Оформление личной карточки работника

При приеме на работу работодатель обязан оформить на работника личную карточку по форме Т-2. Необходимо ли для ее оформления брать согласие с родственников работника на обработку их персональных данных?
В соответствии с Разъяснениями Роскомнадзора обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2, утвержденной Постановлением Госкомстата РФ от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) не требуется.
В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных, иначе также возможно привлечение к ответственности в соответствии с ч. 2 ст. 13.11 КоАП РФ.

Кадровый и бухгалтерский учет осуществляется сторонней организацией. Нужно ли брать согласие от работников на обработку их персональных данных?

В соответствии с Разъяснениями Роскомнадзора при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе получить согласие работников на передачу их персональных данных. В противном случае возможно привлечение к ответственности работодателя в соответствии с ч. 2 ст. 13.11 КоАП РФ.

Что необходимо указать в согласии на обработку персональных данных?

В соответствии с ч. 2 ст. 13.11 КоАП РФ работодателя могут привлечь к ответственности за обработку персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.
Согласие сотрудника на обработку персональных данных должно быть оформлено письменно. Работодателю имеет смысл разработать и утвердить в качестве приложения к положению о персональных работников бланк согласия работника на обработку и передачу его персональных данных. 
Требования к содержанию письменного согласия установлены ч. 4 ст. 9 Закона № 152-ФЗ «О персональных данных».

В согласии нужно указать:
• Ф.И.О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;
• при получении согласия от представителя работника — его Ф.И.О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
• наименование или Ф.И.О. и адрес работодателя;
• цель обработки персональных данных;
• перечень персональных данных, которые подлежат обработке;
• Ф.И.О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;
• перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
• срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
• подпись работника.

Нужно ли разрабатывать положение о персональных данных работников?

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
Работодатель должен определить политику организации в отношении обработки персональных данных, а также издать локальный акт, в котором будет установлен порядок обработки, хранения и защиты персональных данных работников (пп. 2 п. 1 ст. 18 Закона № 152-ФЗ «О персональных данных»).
Это означает, что работодатель должен издать локальный нормативный акт, в котором он пропишет весь порядок, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. 
С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.
Необходимость утверждения подобного документа подтверждается судебной практикой (см., например, Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06). 

Примерная структура положения может быть такой:

1) «Общие положения» — в данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует;
2) «Основные понятия. Состав персональных данных работников» — здесь следует указать, какие документы в организации содержат персональные данные;
3) «Обработка персональных данных» — в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;
4) «Передача персональных данных» — здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;
5) «Доступ к персональным данным» — в данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов);
6) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» — в данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.
Отсутствие разработанного в организации порядка хранения и использования персональных данных работников расценивается как нарушение требований ст. 87 ТК РФ и, соответственно, образует состав административного правонарушения, предусмотренного ст. 5.27 КоАП РФ. (см., например, Решение Верховного суда Республики Карелия от 11.04.2014 по делу № 21-153/2014).

Все Статьи