Департамент общего аудита по вопросу обработки персональных данных сотрудников

Порядок работы с персональными данными регламентирован Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее – Закон №152-ФЗ), который регулирует отношения, связанные с обработкой персональных данных, осуществляемой в том числе юридическими лицами, как с использованием средств автоматизации, так и без использования таких средств, а также главой 14 ТК РФ.

В соответствии с подпунктом 3 статьи 3 Закона № 152-ФЗ обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно пункту 1 статьи 6 Закона № 152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

 Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором (пункт 1 статьи 9 Закона № 152-ФЗ).

При этом пунктом 4 статьи 9 Закона № 152-ФЗ установлено, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Таким образом, обработка персональных данных физических лиц, в том числе сотрудников, производится только на основании их письменного согласия.

Вместе с этим, согласно Разъяснениям[1] Роскомнадзора обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.

Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном статьей 372 ТК РФ.

К персональным данным, на обработку которых не требуется получения согласия работника, могут быть отнесены, например, следующие сведения:

1) сведения из документов, предъявляемых при заключении трудового договора (статьи 65, 275 ТК РФ;

2) сведения, полученные в результате обязательного предварительного медицинского осмотра о состоянии здоровья (статья 69 ТК РФ, пункт 3 Разъяснений Роскомнадзора);

3) сведения, указываемые о близких родственниках сотрудника в унифицированной форме № Т-2[2], либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (пункт 2 Разъяснений Роскомнадзора);

4) от кадрового агентства, действующего от имени соискателя (пункт 5 Разъяснений Роскомнадзора);

5) из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц (пункт 5 Разъяснений Роскомнадзора).

Согласно статье 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.

В соответствии со статьей 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Из указанных норм, на наш взгляд, можно сделать вывод о том, что работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения, защиты и использования персональных данных. С указанным локальным нормативным актом работники должны быть ознакомлены под роспись.

Кроме того, статьей 88 ТК РФ установлено, что при передаче персональных данных работника работодатель должен соблюдать следующие требования:

-не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

-не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

-предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

-осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

-разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

-не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

-передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Из приведенных норм, на наш взгляд, следует, что работодатель вправе разрешить доступ к персональным данным работников только специально уполномоченным лицам, которым будут доступны только те данные, которые необходимы для выполнения конкретных функций.

В связи с этим, по нашему мнению, конкретный перечень работников, которые имеют доступ к персональным данным, должен быть установлен локальным нормативным актом (например, приказом по организации).

Кроме того, поскольку на работодателя в соответствии с пунктом 7 статьи 86 ТК РФ возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты, по нашему мнению, работодателю целесообразно оформить с работниками, которые имеют доступ к персональным данным, обязательство о неразглашении полученных, в ходе выполнения трудовых обязанностей, сведений.

Также в случае, если предполагается передача персональных данных внутри организации, то порядок такой передачи персональных сведений должен быть оформлен локальным нормативным актом, с которым работники будут ознакомлены под роспись.

Порядок передачи персональных данных внутри организации может быть оформлен как отдельным документом, так и включен в положение, регулирующее вопросы хранения, защиты и использования персональных данных.

Должна ли организация подавать данные по обработке в гос.органы (наименование органа, сроки)?

Нормы действующего законодательства не предусматривают обязанности передавать работодателем персональные данные каким-либо контролирующим органом в качестве отчетности.

Вместе с этим, персональные данные могут предоставляться по мотивированному запросу от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

В ответ на такой мотивированный запрос работодатель вправе предоставить соответствующие сведения без согласия работника (пункт 4 Разъяснений Роскомнадзора).

      Штрафные санкции за несоблюдение по вышеуказанным пунктам?

В соответствии со статьей 90 ТК РФ лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

   Ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрена статьей 13.11 КоАП РФ и влечет предупреждение или наложение административного штрафа:

- на должностных лиц в размере от 500 до 1 000 рублей;

- на юридических лиц в размере от 5 000 до 10 000 рублей.

Коллегия Налоговых Консультантов, 03 августа 2016г.

Ответы на самые интересные вопросы на нашем телеграм-канале knk_audit