Департамент общего аудита по вопросу обработки персональных данных сотрудников
Ответы на самые интересные вопросы на нашем телеграм-канале knk_audit
При приеме на работу в организацию, сотрудники предоставляют персональные данные.
1. Какой существует порядок обработки персональных данных у организации: должно ли быть положение, согласие сотрудников на обработку, перечень лиц, имеющих право доступа и пр. в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ?
2. Должна ли организация подавать данные по обработке в гос.органы (наименование органа, сроки)?
3. Штрафные санкции за несоблюдение по вышеуказанным пунктам?
Какой существует порядок обработки персональных данных у организации: должно ли быть положение, согласие сотрудников на обработку, перечень лиц, имеющих право доступа и пр. в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ?
Порядок работы с персональными данными регламентирован Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее – Закон №152-ФЗ), который регулирует отношения, связанные с обработкой персональных данных, осуществляемой в том числе юридическими лицами, как с использованием средств автоматизации, так и без использования таких средств, а также главой 14 ТК РФ.
В соответствии с подпунктом 3 статьи 3 Закона № 152-ФЗ обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно пункту 1 статьи 6 Закона № 152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором (пункт 1 статьи 9 Закона № 152-ФЗ).
При этом пунктом 4 статьи 9 Закона № 152-ФЗ установлено, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Таким образом, обработка персональных данных физических лиц, в том числе сотрудников, производится только на основании их письменного согласия.
Вместе с этим, согласно Разъяснениям[1] Роскомнадзора обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.
Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном статьей 372 ТК РФ.
К персональным данным, на обработку которых не требуется получения согласия работника, могут быть отнесены, например, следующие сведения:
1) сведения из документов, предъявляемых при заключении трудового договора (статьи 65, 275 ТК РФ;
2) сведения, полученные в результате обязательного предварительного медицинского осмотра о состоянии здоровья (статья 69 ТК РФ, пункт 3 Разъяснений Роскомнадзора);
3) сведения, указываемые о близких родственниках сотрудника в унифицированной форме № Т-2[2], либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (пункт 2 Разъяснений Роскомнадзора);
4) от кадрового агентства, действующего от имени соискателя (пункт 5 Разъяснений Роскомнадзора);
5) из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц (пункт 5 Разъяснений Роскомнадзора).
Согласно статье 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
В соответствии со статьей 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Из указанных норм, на наш взгляд, можно сделать вывод о том, что работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения, защиты и использования персональных данных. С указанным локальным нормативным актом работники должны быть ознакомлены под роспись.
Кроме того, статьей 88 ТК РФ установлено, что при передаче персональных данных работника работодатель должен соблюдать следующие требования:
-не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
-не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
-предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;
-осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
-разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
-не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
-передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Из приведенных норм, на наш взгляд, следует, что работодатель вправе разрешить доступ к персональным данным работников только специально уполномоченным лицам, которым будут доступны только те данные, которые необходимы для выполнения конкретных функций.
В связи с этим, по нашему мнению, конкретный перечень работников, которые имеют доступ к персональным данным, должен быть установлен локальным нормативным актом (например, приказом по организации).
Кроме того, поскольку на работодателя в соответствии с пунктом 7 статьи 86 ТК РФ возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты, по нашему мнению, работодателю целесообразно оформить с работниками, которые имеют доступ к персональным данным, обязательство о неразглашении полученных, в ходе выполнения трудовых обязанностей, сведений.
Также в случае, если предполагается передача персональных данных внутри организации, то порядок такой передачи персональных сведений должен быть оформлен локальным нормативным актом, с которым работники будут ознакомлены под роспись.
Порядок передачи персональных данных внутри организации может быть оформлен как отдельным документом, так и включен в положение, регулирующее вопросы хранения, защиты и использования персональных данных.
Должна ли организация подавать данные по обработке в гос.органы (наименование органа, сроки)?
Нормы действующего законодательства не предусматривают обязанности передавать работодателем персональные данные каким-либо контролирующим органом в качестве отчетности.
Вместе с этим, персональные данные могут предоставляться по мотивированному запросу от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
В ответ на такой мотивированный запрос работодатель вправе предоставить соответствующие сведения без согласия работника (пункт 4 Разъяснений Роскомнадзора).
Штрафные санкции за несоблюдение по вышеуказанным пунктам?
В соответствии со статьей 90 ТК РФ лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, ад
Ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрена статьей 13.11 КоАП РФ и влечет предупреждение или наложение ад
- на должностных лиц в размере от 500 до 1 000 рублей;
- на юридических лиц в размере от 5 000 до 10 000 рублей.
Коллегия Налоговых Консультантов, 03 августа 2016г.
[1] Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве
[2] Утв. Постановлением Госкомстата РФ от 05.01.04 № 1
Ответы на самые интересные вопросы на нашем телеграм-канале knk_audit
Назад в раздел