Персональные данные работника — делать дело

В статье читайте:

• Нужно ли согласие сотрудника, чтобы снять копии с его документов;
• Сколько хранить копии паспортов и свидетельств в отделе кадров;
• Как оформить уничтожение копий документов, содержащих персональные данные.

Прием на работу – Общий порядок приема на работу

Роскомнадзор решит, что работодатель собирает лишние персональные данные, если кадровая служба хранит копии паспортов сотрудников, свидетельств о браке, рождении детей и т. д. Теперь штраф за одно такое нарушение достигает 50 000 рублей1. В статье мы разобрали, как обезопасить себя, если получаете у сотрудников копии личных документов.

Получайте копии документов, только чтобы предоставить сотруднику гарантии и компенсации

Сведите к минимуму обработку копий личных документов сотрудников, хранение которых вызывает претензии у проверяющих (схема ниже). Используйте данные, которые указали в трудовых договорах и личных карточках, при необходимости попросите сотрудника предъявить необходимый документ и перепишите из него нужную информацию.

Есть случаи, когда Роскомнадзор и суды признавали обработку копий неправомерной, даже если они нужны по закону, чтобы, к примеру, назначить пособие. Обосновывали это тем, что работодатель обрабатывает избыточные сведения.

Кроме того, копии личных документов содержат специальные категории персональных данных, например информацию о национальности, которые, по общему правилу, обрабатывать нельзя (постановление Пятнадцатого арбитражного апелляционного суда от 17 декабря 2013 г.

№ 15АП-16132/13, постановления ФАС Северо-Кавказского округа от 21 апреля 2014 г. по делу № А53-13327/2013, от 11 марта 2014 г. по делу № А53-10287/2013 и др.).

Вместе с тем копии личных документов часто требуются, чтобы предоставить сотруднику или членам его семьи гарантии и компенсации, например, пособия, путевки и т. п. (ч. 2–5 ст. 5 Закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ). В зависимости от того, закон или локальный акт обязывает работника представить копии, действует разный порядок их получения.

• Комментарий в тему
• Иван ШКЛОВЕЦ, заместитель руководителя Федеральной службы по труду и занятости (Москва)

Если инспектор ГИТ обнаружит копии паспортов в личных делах, то сообщит об этом в Роскомнадзор

Трудовой кодекс хранение копий в личных делах не предусматривает. Если они понадобились вам для конкретной цели, каждый раз получайте их у сотрудника и оформляйте отдельное согласие на обработку данных. Такие случаи возникают нечасто и в них всегда заинтересован работник.

За хранение копий в личных делах на постоянной основе компанию могут привлечь к административной ответственности. Нарушает ли работодатель законодательство о персональных данных, проверяет Роскомнадзор. Если случаи хранения копий выявит инспектор ГИТ, то передаст такую информацию в это ведомство.

Копии получают в силу закона. По общему правилу, представители компании не должны снимать копии с документов, которые приносит сотрудник.

Например, при приеме на работу он лишь показывает паспорт, диплом, военный билет и проч. Кадровик проверяет эти документы и возвращает работнику (ст.

Часто работодатели прописывают в трудовых договорах условие, что сотрудник дает согласие на обработку любых персональных данных на все время работы в компании.

Однако это неправильно: нужно запрашивать у сотрудника отдельное согласие на те или иные действия с его персональными данными в конкретной ситуации.

Условие в трудовом договоре о том, что работник заранее на все согласился, будет ухудшать его положение по сравнению с законом (ч. третья ст. 57 ТК РФ).

Случаев, когда работодатель по закону обязан запросить у сотрудника копию документа, мало. Например, чтобы получить средства на выплату единовременного пособия, организация представляет в ФСС России копию справки о рождении ребенка (п. 3 приказа Минздравсоцразвития России от 4 декабря 2009 г. № 951н).

Чтобы назначить ежемесячное пособие по уходу за ребенком, потребуются копии свидетельств о рождении предыдущих детей (ч. 6 ст. 13 Закона от 29 декабря 2006 г. № 255-ФЗ). Сотрудник должен представить копии таких документов, если хочет, чтобы работодатель назначил пособие.

Поскольку обязанность предусматривает закон, получать отдельное согласие на обработку персональных данных не нужно (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ).

Копии получают, чтобы исполнить локальный акт. Закон не запрещает включать в локальные акты условие, что работник передает в отдел кадров копии личных документов, чтобы ему предоставили корпоративные гарантии. Например, выдали новогодние подарки для детей, оказали материальную помощь и т. д.

Работодатель вправе без согласия сотрудника обрабатывать его персональные данные в случаях, предусмотренных коллективным договором и локальными актами (абз. 2 Разъяснений Роскомнадзора от 14 декабря 2012 г.).

Сотрудник вправе отказаться представлять копии, за это его нельзя привлечь к дисциплинарной ответственности.

Важная статья: «Утвердите политику обработки персональных данных, чтобы избежать штрафа Роскомнадзора» (№ 11, 2017)

Скачать и распечатать образец

Уничтожьте копии после того, как предоставили гарантии

Прекратите обработку информации и уничтожьте ее материальные носители, в том числе копии, если достигли цели, для которой получали сведения. Например, работнику предоставили гарантии, предусмотренные локальным актом, или компания отменила этот акт (ч. 4 ст. 21 Закона № 152-ФЗ).

Уничтожьте копии в течение 30 дней с даты, когда достигли цели обработки данных. Копии паспортов, свидетельств и т. д. не относятся к документам по личному составу. Поэтому сроки хранения, установленные законодательством об архивном деле, к ним не применяют (п. 3 ст. 3 Закона от 22 октября 2004 г. № 125-ФЗ).

Установите порядок уничтожения материальных носителей персональных данных самостоятельно. Как правило, для этого создают комиссию или назначают ответственное лицо, о чем издают приказ в произвольной форме (образец ниже).

Исключите несанкционированный доступ к копиям личных документов сотрудников. Храните их в сейфах или шкафах, которые запираются на ключ. Утвердите приказом перечень лиц, имеющих доступ к таким данным, и перечень мест хранения материальных носителей персональных данных (ч. 3 ст. 4 Закона № 152-ФЗ, п. 13 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687).

Скачать и распечатать образец

Зафиксируйте уничтожение персональных данных в специальном журнале или акте о прекращении обработки персональных данных (образец ниже). Форму этих документов утверждает работодатель, унифицированных шаблонов нет (информация Роскомнадзора от 25 сентября 2015 г.).

Скачать и распечатать образец

Нормативная база

Документ	Поможет вам
Пункт 2 ст. 86 ТК РФ, ч. 5 ст. 5 Закона № 152-ФЗ, постановления ФАС Северо-Кавказского округа от 21 апреля 2014 г. по делу № А53-13327/2013, от 11 марта 2014 г. по делу № А53-10287/2013	Понять, что нельзя хранить копии личных документов сотрудников без конкретной цели, на всякий случай
Информация Роскомнадзора от 25 сентября 2015 г.	Узнать, как уничтожить персональные данные
Статья 13.11 КоАП РФ	Выяснить, какие наказания грозят работодателю за нарушения в работе с персональными данными

Важные выводы

1. Получайте у работника копии паспорта и иных документов, только чтобы предоставить ему гарантии, предусмотренные законом или локальным актом.
2. Храните копии документов в отделе кадров, пока не достигли цели, для которой их снимали.
3. Документально фиксируйте уничтожение копий документов, содержащих персональные данные.

1 Часть 1 ст. 13.11 КоАП РФ.

Источник: https://ajur.biz/ne-hranite-v-otdele-kadrov-kopii-pasportov-i-diplomov-za-eto-kompaniyu-oshtrafuyut/

Персональные данные уволенного работника

Во время работы, в кадровой службе предприятия, накапливается масса документов по каждому работнику, в которых содержатся персональные данные сотрудников. Это могут быть приказы, копии личных документов, служебные записки, личные карточки и проч., то есть та информация, которая необходима работодателю в связи с возникшими договорными трудовыми отношениями с конкретными работниками. В данном случае, работодатель выступает в роли оператора, а работник в роли субъекта персональных данных (ст.3 №152-ФЗ).

С окончанием трудовых отношений, считается, что работодатель (оператор) достиг цели обработки персональных данных, и согласно п.4 ст.21 №152-ФЗ «обязан прекратить обработку персональных данных, и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных…».

Так же, согласно п.1 ст.14 №152-ФЗ, бывший работник (субъект персональных данных) — вправе требовать от оператора (бывшего работодателя) блокирования или уничтожения персональных данных…».

Таким образом, если бывший работник, по какой либо причине заинтересован в уничтожении своих персональных данных, оставшихся у его бывшего работодателя, ему надлежит письменно обратиться по месту бывшей работы с требованием об уничтожении документов, содержащих персональные данные.

Вместе с тем, зачастую, работники кадровых служб, ссылаясь на п.п.2 п.2 ст.1 №152-ФЗ и на «Перечнь типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», утверждают, что кадровые документы, содержащие персональные данные, сдаются в архив и хранятся там в течении 75 лет. Данное утверждение в корне не верно…

«Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения» составлен в соответствии с «Основами законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах» от 7 июля 1993 г., Положением об Архивном фонде Российской Федерации, утвержденным Указом Президента Российской Федерации от 17 марта 1994 г.

№552, и с учетом положений иных правовых актов Российской Федерации и субъектов Российской Федерации, современных нормативных документов и методических пособий по экспертизе ценности документов и комплектованию архивов. В связи с принятием Федерального закона от 22.10.2004 №152-ФЗ «Об архивном деле в Российской Федерации» основы законодательства РФ об Архивном фонде РФ утратили силу.

Ст.22 №152-ФЗ «Устанавливаются следующие сроки временного хранения документов Архивного фонда Российской Федерации до их поступления в государственные и муниципальные архивы:
п.п.б) п. 4: документов по личному составу, записей нотариальных действий, нехозяйственных книг и касающихся приватизации жилищного фонда документов — 75 лет…». Однако, согласно п.4 ст.

22 ФЗ «Об архивном деле в РФ» на него не распространяются.

Так же, согласно положений №152-ФЗ, архив может иметь статус частного (в негосударственных организациях) и порядок хранения документов в нём определяется учредителями предприятия, однако, в случае, если ЛНА негосударственного предприятия, будет вступать в противоречие с ФЗ, то положения такого нормативного акта будут недействительными.

В заключение, хотелось бы услышать мнение уважаемых читателей, относительно необходимости наличия документов содержащих ваши персональные данные у бывшего работодателя.

Нужны ли бывшему работодателю документы, содержащие ваши персональные данные?

Источник: https://HR.SuperJob.ru/kadrovyj-uchet/personalnye-dannye-uvolennogo-rabotnika-1535/

Роструд объяснил, как хранить копии документов в личных делах

В связи с ужесточением законодательства о персональных данных многих кадровых специалистов интересует вопрос, можно ли хранить копии документов в личном деле работника. Ответ на этот вопрос дал Роструд, разбирая обращения граждан и организаций.

Условие, при котором хранить копии документов безопасно Специалисты Федеральной службы по труду и занятости обращают внимание, что порядок ведения личного дела на законодательном уровне не установлен. В связи с этим чиновники предлагают ориентироваться на нормативные акты, регламентирующие отношения в сфере неприкосновенности частной жизни, а также сбора и хранения персональной информации.

В Роструде подчеркивают, что по Конституции запрещено собирать, хранить, использовать и распространять личные данные гражданина, только если он сам не дал согласие на обработку его личной информации. Аналогичные нормы содержатся и в Федеральном законе от 27.07.2006 № 152 «О персональных данных».

С учетом этого, если сотрудник дал согласие на хранение и обработку информации о себе, работодатель вправе хранить копии документов в деле работника, в частности, паспорта, СНИЛС, ИНН.

В то же время чиновники уточняют, что в ст. 86 ТК РФ обозначены цели, для которых работодателям разрешено использовать персональные данные сотрудников.

Ими пользуются для: обеспечения соблюдения законов и иных нормативных актов; содействия в трудоустройстве; предоставления образования и продвижения по службе; обеспечения личной безопасности работников; контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Список целей, для которых работодатели могут использовать персональные данные сотрудников, закрытый, и никак иначе пользоваться копиями нельзя.

Например, ксерокс паспорта поможет заполнить личную карточку работника, может, еще пару документов, но потом он больше не нужен.

Но во многих организациях хранят копии паспортов и иных документов по традиции, не представляя до конца, зачем они нужны. И даже после увольнения.

Теперь за хранение персональных данных сотрудника «просто так» штрафуют, и работодатели начали волноваться: что делать? Если в организации такие документы действительно нужны, оговорите это в ЛНА, получите согласие на хранение, а затем будьте готовы объяснить проверяющим, для чего они используются.

В частности, в Постановлении ФАС Северо-Кавказского округа от 11.03.2014 по делу № А53-10287/2013 заявлено, что для обработки персональных данных работников, принимаемых на работу, достаточно сверить сведения с оригиналами, и хранить копии паспортов не нужно.

Стоит вкладывать в дела работников копии их персональных документов или нет, решать вам.

Напомним только, что за нарушение норм в области личных данных предусмотрено наказание по ст. 13.11 КоАП РФ.

Так, за обработку личной информации в случаях, не прописанных законодательством, равно как и за обработку, несовместимую с установленными целями, должностных лиц могут оштрафовать на 5000-10 000 рублей, а организацию — на 30 000-50 000 рублей.

В свете разъяснений Роструда работодателей, возможно, смогут штрафовать согласно п. 2 ст. 13.11 КоАП РФ. По ней, за обработку информации без письменного согласия субъекта персональных данных штраф для должностных лиц повышается до 10 000-20 000 рублей, а для компаний — до 15 000-75 000 рублей.

Источник: https://PrimTrud.ru/content/rostrud-obyasnil-kak-hranit-kopii-dokumentov-v-lichnyih-delah.html

Как правильно хранить копии документов в личном деле работника

Может ли работодатель хранить копии паспорта, СНИЛС, документов об образовании работника в его личном деле? Этот вопрос часто задают слушатели курсов по кадровому учету в Контур.Школе. Ответим на него в статье.

Работодатель должен помнить, что он:

• обязан вести личные дела, если это определено нормативными правовыми актами, как, например, у органов исполнительной власти;
• не обязан вести личные дела работников, если это не определено нормативными правовыми актами;
• если не обязан вести личные дела, но решил делать это в своей организации, только он может ответить на вопрос, какие документы должны попадать в личные дела при их формировании. При этом работодателю важно разобраться с принципами обработки персональных данных.

Если вы решили вести личные дела работников

Первоочередная задача работодателя, который начинает формировать документы работников в личные дела, — разработать локальный нормативный акт: стандарт или положение о порядке формирования личных дел. Именно там следует раскрыть вопросы, как оформлять личные дела, формировать в них кадровые документы.

Распространенная ошибка: работодатель хранит лишнюю информацию о работниках на всякий случай. Этим он нарушает принципы обработки персональных данных.

За нарушение принципов обработки персональных данных, несовместимой с целями их сбора, Роскомнадзор может привлечь работодателя к административной ответственности по ч.1 ст. 13.11 КоАП РФ и выписать предупреждение или административный штраф:

• на граждан в размере от 1 000 до 3 000 руб.;
• на должностных лиц — от 5 000 до 10 000 руб.;
• на юридических лиц — от 30 000 до 50 000 руб.

Что надо знать о персональных данных работников

Внести сведения и хранить копии — большая разница

В ст. 65 Трудового кодекса документы работника определены как предъявляемые при приеме на работу. Предполагается, что они именно предъявляются работодателю, а не передаются ему на хранение или для снятия копий.

Все, что необходимо сделать отвечающему за кадровое делопроизводство, — внести необходимые сведения в личную карточку Т-2. В этом случае не надо получать согласие работника на обработку его персональных данных.

А вот хранение копий паспорта гражданина РФ, СНИЛС, документов об образовании подпадает под понятие «обработка персональных данных», т.к. копии содержат персональные данные работника.

А если нет законной конкретной цели, то нет и согласия на обработку персональных данных, содержащихся в копиях документов.

Обработка персональных данных допускается для исполнения договора, стороной которого является субъект персональных данных (подп. 5 ч. 1 ст. 6 федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон «О персональных данных»).

Можно ли хранить копии, если есть согласие от работников?

Даже если работник согласен передать копии работодателю, законной цели при этом не возникает. Разберемся, что такое «законная конкретная цель».

Нет цели — нет права хранить копии

Проверяющие из Роскомнадзора применяют принципы, определенные ст. 5 Закона «О персональных данных»:

• обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Цели обработки персональных данных не должны быть избыточными по отношению к заявленным целям.

Требования к содержанию согласия на обработку персональных данных определены в ч. 4 ст. 9 Закона «О персональных данных». К обязательным сведениям в согласии относятся цель обработки персональных данных и перечень действий с персональными данными.

Хранение копий документов работника должно ограничиваться достижением заранее определенных, конкретных целей, которые не должны быть избыточными по отношению к заявленным целям обработки.

Пример законных и конкретный целей обработки персональных данных:

• для целей добровольного медицинского страхования работников;
• для размещения информации о Ф. И. О. работника, его должности на внутреннем сайте работодателя.

Пример незаконной цели обработки персональных данных: на случай, если запросят проверяющие из налоговой, ФСС, прокуратуры и т.д.

Наличие у работодателя копий документов работников может свидетельствовать об избыточности информации о работниках (их персональных данных) по сравнению с тем, что требуется действующим законодательством.

Онлайн-обучение в Контур.Школе

Управление персоналом и кадровое делопроизводство

Посмотреть программу

Хранение копии паспорта

Ксерокопия паспорта может содержать биометрические персональные данные, т.е. данные об особенностях физиологических и биологических особенностях человека. Например, на копии можно увидеть особенности строения овала лица, формы глаз, носа и т.д.

В соответствии со ст. 11 Закона «О персональных данных» биометрические персональные данные обрабатываются только с согласия работника. В согласии нужно прописать цели, которые бы не нарушали принципы обработки персональных данных, не допускали излишней их обработки и были бы конкретными и законными.

Выводы и рекомендации

Определите правомерность своих действий:

• Если вы собираете и храните в документах по кадровому учету копии документов работника, когда это не предусмотрено нормативными правовыми актами и согласием, то вы превышаете объем обрабатываемых персональных данных работника, установленный Конституцией РФ, ТК РФ и иными федеральными законами. Подобный вывод есть в судебной практике, в частности в Постановлениях Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/2013 по делу № А53-12557/2013, ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013. Именно после появления этих дел и начались многочисленные вопросы относительно хранения копий документов работника.
• Если у вас есть конкретная цель, собирать и хранить копии правомерно. Помните, что хранение копий документов работника законно только в том случае, если работодатель определил конкретную цель их обработки (хранения), не допускающую излишней обработки персональных данных. Цель должна быть прописана в согласии на обработку персональных данных. При отсутствии такой цели и согласия хранение копий документов, даже если работодатель определит возможность, является нарушением законодательства о персональных данных.

Источник: https://School.Kontur.ru/publications/1669

Персональные данные работников и документы, их содержащие. Правила работы с личными делами | Статьи | Журнал «Справочник секретаря и офис-менеджера»

Ежедневно кадровым специалистам приходится иметь дело с персональными данными работников компании. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (Федеральный закон от 07.05.

2013 № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных»).

Однако цепочка выполняемых действий с персональными данными – от их получения, обработки, передачи и до хранения и т.д. – не всегда этими специалистами соблюдается в соответствии с внутренними нормативными актами организации и законодательством РФ.

Таким образом происходит прямое нарушение права работников на защиту их персональных данных.

Как работодателю и работнику обезопасить себя в этом вопросе? Ведь жесткая мера ответственности работодателя за нарушение норм, регулирующих обработку и защиту персональных данных, нередко весьма губительна для имиджа компании.

Деятельность практически каждой компании связана с набором персонала, когда требуется проводить получение, обработку, хранение и передачу сведений о сотрудниках. Зачастую при устройстве на новую работу соискателя просят предоставить сведения о своей личности.

На основании действующей редакции Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) используется следующее ключевое понятие: персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Закона о персональных данных).

 Первыми кадровыми документами при приеме на работу, включающими персональные данные, будут анкета или личный листок по учету кадров, разработанные и утвержденные приказом по организации.

Личный листок по учету кадров

Источник: https://www.sekretariat.ru/article/210327-qqe-16-m5-personalnye-dannye-rabotnikov

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

ФИО и любая другая личная информация о гражданине – это персональные данные.

Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных».

За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

Но обычно к ним принято относить:

• фамилию, имя, отчество;
• адрес проживания;
• электронный адрес;
• номер телефона;
• дата рождения;
• место рождения;
• национальность;
• вероисповедание;
• место работы;
• должность;
• рост;
• вес;
• и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

• сотрудников, работающих по трудовым договорам;
• работающих по договорам ГПХ;
• и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
   • Приказ о назначении ответственного за организацию обработки персональных данных;
   • Документ, определяющий политику оператора в отношении обработки персональных данных;
   • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
   • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
   • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
   • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
   • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
   • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
   • Документ о классификации информационных систем;
   • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
   • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.

Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.

), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

• По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.

• Ознакомит со своей Политикой в отношении персональных данных клиентов.
• Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафовать Сумма штрафа

Персональные данные обрабатываются не в тех целях, на которое дано согласие Например, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.	от 30 000 до 50 000 руб.
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)	от 15 000 до 75 000 руб.
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)	от 15 000 до 30 000 руб.
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных) Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.	от 20 000 до 45 000 руб.
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.	от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

• В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).

Источник: https://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/

Персональные данные работника в 2020 году: инструкция — Институт Профессионального Кадровика

16 Сентября

1073

#CNT# data-template-html-inactive=В избранное #CNT#>

Работодатель сталкивается с вопросом о персональных данных постоянно.

Даже когда потенциальный сотрудник еще не работает в организации, а только направляет резюме — он уже предоставляет в распоряжение работодателя свои персональные данные.

Постоянная работа с личными данными происходит при кадровом делопроизводстве — организация ежедневно коммуницирует с внешним миром, служба кадров обрабатывает огромный массив документов и во всех содержатся чьи-либо личные сведения.

Персональные данные — это любая информация, относящаяся к конкретному лицу непосредственно. Это информация, при помощи которой можно идентифицировать человека.

Получение, хранение, уточнение, корректировка и иные действия с данными — это их обработка. Обработкой персональных данных занимаются чаще всего кадровые службы.

Оператором обработки является любая организация, которая собирает и хранит данные. То есть абсолютно любая организация.

О персональных данных в российском правовом поле информируют:

• Конституция России.
• Трудовой кодекс.
• Федеральный закон «О персональных данных» №152-ФЗ.
• Кодекс об административных правонарушениях.
• Уголовный кодекс.

Конституция гарантирует, что каждый гражданин имеет право на личную, семейную или профессиональную тайну, имеет право контролировать распространение информации об этом, пресекать это распространение. Если же данные распространяются недобросовестно, то гражданин вправе рассчитывать на защиту чести и достоинства.

Трудовой кодекс говорит о том, что собирать персональные данные работника кадровик или руководитель может исключительно с ясными и адекватными целями. ТК РФ однозначно запрещает хранение избыточного количества данных «на всякий случай».

В федеральном законе №153-ФЗ отмечена необходимость соблюдения полной безопасности данных, обозначены права, обязанности и ответственность граждан и операторов обработки.

КоАП РФ и УК устанавливают ответственность за нарушение указанных норм.

1. Избыточность.
2. Целеполагание.

То есть работодатель имеет право собирать исключительно те данные, которые необходимы для осуществления трудового процесса, и только с целью поддержания этого процесса.

Какие данные являются персональными:

• фамилия, имя, отчество;
• дата, место рождения;
• биометрия – отпечатки пальцев, ДНК, радужная оболочка глаз, рост, вес, фотографии и видео с изображением человека, если его можно там идентифицировать;
• адрес прописки или фактического жительства;
• семейное положение, состав семьи; 
• биографические данные;
• профессиональная информация – образование, квалификация, должность, трудовой стаж, предыдущие места работы;
• сведения о доходах и имуществе;
• номера ИНН и СНИЛС; контакты – телефон, электронная почта;
• информация о воинской обязанности;
• медицинская информация и диагнозы.

Обычно выделяют четыре категории персональных данных, хотя в законах такой классификации нет:

1. Общедоступные. ФИО, дата и место рождения, профессия, контакты могут использоваться в открытых источниках. Например, в справочниках и телефонных книгах, если субъект данных дал на это свое согласие.
2. Биометрические. Позволяют идентифицировать человека по физиологическим параметрам. Данные собираются исключительно с согласия гражданина и в обоснованных законом целях.
3. Специальные. Раса, национальность, политические и религиозные взгляды, философские воззрения и подробности интимной жизни. Обработка таких данных запрещена, кроме случаев, когда субъект согласился на это письменно или когда он сам открыто опубликовал их, сделав общедоступными.
4. Иные. Не вошедшие в эти категории.

Шаг 1. Выпустить положение о персональных данных. Этого требуют и федеральный закон, и здравый смысл. В локальном акте нужно прописать все правила хранения и обработки данных.

Шаг 2. Утвердить положение. Для этого нужно выпустить соответствующий приказ с подписью руководителя и ознакомить с ним всех сотрудников. Сотрудники должны расписаться в специальном журнале или ведомости.

Шаг 3. Назначить специалиста, ответственного за персональные данные. Вероятнее всего, это будет сотрудник кадровой службы. Желательно, чтобы работа с персональными данными была указана в его трудовом договоре.

Если же договор уже составлен, можно выпустить дополнительное соглашение к нему. В том же приказе нужно установить сотрудников, которые будут иметь доступ к персональным данным.

 Все упомянутые лица должны подписать обязательство о неразглашении данных.

Шаг 4. Собрать со всех сотрудников письменные согласия на обработку персональных данных. В письменном согласии должны быть перечислены конкретные данные и цели их использования. Цели должны сводиться исключительно к поддержанию трудового процесса.

Шаг 5. Хранить данные в строгом порядке. Данные могут храниться и в электронном виде, и в бумажном. Они должны быть абсолютно недоступными для третьих лиц, своевременно пополняться и при необходимости корректироваться.

Шаг 6. Обратиться в Роскомнадзор. Этот пункт не обязателен, если вы:

• обрабатываете информацию без использования специализированного ПО и баз данных (то есть если массив данных оператор обрабатывает вручную на ПК или на бумаге);
• обрабатываете данные только своих сотрудников и только в целях составления и ведения трудовых договоров (не более);
• оформили договор с физическим лицом как подрядчиком, поставщиком или нештатным специалистом;
• однократно пропустили постороннего человека, не являющегося вашим сотрудником, на территорию предприятия (например, для собеседования).

Велики риски, связанные с неправильным или небезопасным хранением данных. Если организация что-то сделает не так, она навлечет на себя ревизии, проверки, административное производство или уголовный процесс.

Административная ответственность

До 75 тысяч рублей штрафа работодатель может заплатить за:

• сбор и обработка избыточной информации;
• отсутствие согласия работника на обработку данных;
• доступ третьих лиц к персональным данным сотрудников;
• игнорирование просьб работника об удалении его персональных данных (например, после его увольнения).

Уголовная ответственность

По статье 137 УК РФ:

• Разглашение данных работника в публичном пространстве, публикация в СМИ сведений, составляющих его личную или семейную тайну. Штраф до 200 тысяч рублей, лишение свободы до 2 лет и запрет занимать определенные должности — до 3 лет.
• То же самое, с использованием служебного положения — штраф до 300 тысяч рублей, лишение свободы до 5 лет и запрет занимать соответствующую должность — до 6 лет.

Очень важно правильно построить процесс обработки персональных данных, потому что они ценны и составляют основу частной жизни граждан, их репутацию и во многих случаях личную безопасность.

Когда данные попадают в распоряжение работодателя, он должен действовать таким образом, чтобы способствовать трудовому процессу, поддерживать его и при этом не навредить сотрудникам.

Малейшая ошибка – и можно навлечь на себя ответственность вплоть до уголовной. Чтобы помочь руководителям и кадровикам повысить свой профессиональный уровень, мы разработали специальный курс по защите персональных данных.

Программа рассчитана на 36 часов и дает исчерпывающую информацию, актуальную сейчас и в перспективе. О том, как хранить данные, как их обезопасить и как с легкостью пройти все проверки Роскомнадзора.

Почитать программу и записаться на курс можно по ссылке.

 

Источник: https://profkadrovik.ru/articles/work-with-documents/personalnye-dannye-rabotnika/

Основные нарушения при обработке персональных данных работника

Работники — те субъекты персональных данных, благодаря которым операторами персональных данных являются почти все юридические лица нашей страны.

Именно поэтому они находятся в привилегированном положении: в трудовом кодексе выделена целая глава, которая регулирует вопросы обработки отдельного вида персональных данных – персональных данных работников. Кроме того, новое Постановление Правительства РФ № 1119 от 01.11.

2012, установило новый вид информационной системы персональных данных (Далее – ИСПДн) — ИСПДн, обрабатывающая персональные данные (ПДн) сотрудников оператора.

У каждого свои причины, но самая главная из них — страх перед неизведанным.

В этой статье мы попытаемся передать необходимые знания об основных нарушениях при обработке персональных данных работников и о том, что необходимо сделать для их устранения.

Главная проблема в защите и организации обработки персональных данных — это наличие правовой основы обработки персональных данных.

Запомните: сколько бы вы не потратили сил и времени на выполнение требований законодательства о персональных данных, — это может быть все впустую, если вы нарушаете принципы и условия их обработки.

Принципы (статья 5 ФЗ «О персональных данных») и условия обработки (статья 6 закона ФЗ «О персональных данных) по нашему мнению, одни из самых главных статей ФЗ «О персональных данных». Поясним почему.

Удивительно, но 99 % знакомых и опрошенных нашими коллегами специалистов кадровых служб уверены, что они имеют право хранить ксерокопию паспорта сотрудника, при том, что, только 5% из них могут сказать для чего он им нужен, и никто из них не может назвать правовое основание и законную цель обработки материального носителя персональных данных — ксерокопии.

Дело в том, что в нашем законодательстве нет законного основания для хранения ксерокопий паспортов работника в личном деле (кроме некоторых случаев, связанных с государственной службой).

Главное не путать – хранение без цели (на всякий случай) и однократное использование для каких-либо нужд (например, если нужно ксерокопию паспорта работника отправить в учебное заведение, где он будет повышать квалификацию или в банк для выдачи банковской карты).

Более того – даже, если взять с работника согласие на обработку ксерокопии паспорта — это не поможет, потому что исходя из статьи 5 ФЗ «О персональных данных»: обработке подлежат только те ПДн, которые отвечают целям их обработки, а цели должны быть конкретными и законными.

Грубо говоря, вы не сможете объяснить Роскомнадзору РФ — зачем вам эти данные. Вы скажете — для трудоустройства, они вам в ответ – ТК РФ устанавливает закрытый перечень документов, предъявляемых при поступлении на работу. Посмотрел в паспорт, данные в Т-2 переписал и верни паспорт обратно. И так далее.

Конечно, дорогие читатели и их коллеги по кадровому цеху могут возразить и, сославшись на богатую фантазию, придумать цель обработки, но цифры победить трудно: наличие ксерокопии паспорта работника в личном деле — одно из трех самых частых нарушений, фиксируемых Роскомнадзором РФ и его территориальными органами при проведении проверочных мероприятий.

Что касается целей обработки персональных данных работников, то мы должны придерживаться рамок Трудового кодекса Российской Федерации — статья 86: «обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества».
Одной из самых волнующих тем при обработке персональных данных работников является согласие на обработку персональных данных. Трудовой кодекс предусматривает, что при передаче работодателем персональных данных работника, первый обязан запастись письменным согласием на обработку.

Здесь мы плавно переходим к другому самому частому нарушению, фиксируемому Роскомнадзором (его территориальными органами), при проведении проверочных мероприятий. Сейчас почти в каждой организации заработную плату работники получают на банковские карты.

Однако, в большинстве случаев (почти всегда), отношения с банком в области обработки персональных данных оформляются неправильно с точки зрения регуляторов.

Прежде всего, с работника забывают взять согласие, а так как по ТК это согласие должно быть в письменной форме, его необходимо оформить со всеми требованиями статьи 9 ФЗ «О персональных данных».

Поэтому, согласия, которые берет банк для вас, как для работодателей не играют для вас никакой роли. Другой важный момент — если в вашем согласии прописано, что работник разрешает передавать свои данные в кредитные организации без указания конкретной организации, то это тоже будет нарушением. Необходимо указать в какой именно банк будут передаваться данные.

Кроме этого, в договоре с банком Роскомнадзор (его территориальный орган) часто замечает такой вид правоотношений в области персональных данных, как поручение оператором обработки другому лицу. То есть, работодатель поручает банку обрабатывать персональные данные своих работников. Данная постановка вопроса — весьма спорная.

Не спроста ни один банк добровольно это не признает, но есть ли там поручение обработки или нет, как и что нужно сделать, чтобы избежать проблем — это тема для отдельной дискуссии.

Мы же просто доводим до читателя факты — отсутствие в договоре с банком положений части 3 статьи 6 ФЗ «О персональных данных» — одно из главных нарушений, устанавливаемых Роскомнадзором (его территориальным органом) при проведении проверочных мероприятий (третье основное нарушение).

При том, нарушители здесь не банки, а работодатели, потому что именно они поручают обработку персональных данных. Поэтому, чтобы избежать возможных проблем – просмотрите свой договор с банком и внесите в него дополнения.

Текст, который нужно добавить, можно легко извлечь из части 3 статьи 6 ФЗ «о персональных данных». Также, обратите внимание не только на договор с банком, но и на другие договоры, в соответствии с которыми вы передаете персональные данные работников.

Это могут быть, например, договоры на обучение работников, или на проведение медицинских осмотров.

В соответствие со статьей 10 ФЗ «О персональных данных» сведения о судимости могут обрабатываться только в установленных законом случаях. Прочитайте её, пожалуйста, полностью.

Поэтому, если вы «обычный»работодатель, а не, например, школа, то вы не можете обрабатывать сведения о судимости работников, как бы ваша служба безопасности этого не хотела.

Другое частое нарушение законодательства о персональных данных в данной сфере – сбор излишней информации о родственниках. Часто в личном деле работника можно встретить такие сведения о родственниках как место их работы, контактные телефоны (это как минимум).

К сожалению, если опираться на законодательство, то в большинстве случаев работодатель может обрабатывать только данные о родственниках, которые указаны в карточке Т-2. Естественно, мы не рассматриваем случаи, когда работник – государственный служащий.

Там совсем другая ситуация с данными родственников и другие подобные случаи.

Кроме нарушения непосредственно самого закона, работодатель часто нарушает и требования подзаконных актов, в частности Постановления Правительства 687 от 15.09.2008.

Самый частый случай – нарушение пункта 6 данного постановления: «Лица, осуществляющие обработку персональных данных… должны быть проинформированы о факте обработке ими персональных данных,… категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки…».

Все возможные нарушения невозможно изложить в данной статье, но мы надеемся, что она поможет вам избежать основные.

Сотрудники Роскомнадзора РФ (его территориальных органов), как большие профессионалы, поступают правильно, ведь намного важнее не наличие красивых документов, а законность обработки тех или иных персональных данных.

И в подтверждение наших доводов видно, что почти все основные нарушения вообще не связаны с комплектом ваших внутренних документов. Вы пригласили специалистов, они сделали вам комплект документов, поставили средства защиты и ушли, оставив вас один на один со всеми проблемами.

Поэтому, важным элементом построения грамотной защиты и системы обработки ПДн в организации является наличие своего специалиста разбирающегося в законодательстве о персональных данных. Мы не говорим, что надо их искать и увеличивать штат.

Обработка персональных данных — это каждодневная деятельность сотрудника отдела кадров. И вдвойне будет замечательно, если ваш кадровик во всем сам разберется, станет хорошим специалистом и в этом вопросе (именно в вопросах обработки персональных данных работников).

Если у вас обрабатываются персональные данные и других субъектов – не надо все валить на специалиста по кадрам, так как обработка персональных данных иных субъектов также требует определенных знаний.

Возможно, для этого его нужно будет отправить на пару семинаров или пригласить на аудит сторонних специалистов, но это будет лучше, чем не иметь такого специалиста вообще.

Источник: https://centr.expert/mnenie/zashita-personalnih-dannih-rabotnika