Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 28 октября 2019 г.
Содержание журнала № 21 за 2019 г.Оптимизируем работу с личными данными сотрудников
Уведомление об обработке ПД
Справка
Обработка ПД — любые действия с ПД, совершаемые с использованием средств автоматизации или без использования таких средств (в частности, сбор, запись, накопление, хранение, использование, передача или уничтожение ПД)п. 3 ст. 3 Закона № 152-ФЗ.
Нужно ли сообщать в Роскомнадзор об обработке работодателем ПД, необходимость которой возникает в связи с трудовыми отношениями, зависит от ситуации.
Ситуация 1. Работодатель обрабатывает ПД исключительно «в соответствии с трудовым законодательством»ч. 2 ст. 22 Закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ). В такой ситуации обязанности направлять уведомление об обработке ПД в органы Роскомнадзора нет. Причем неважно, каким способом обрабатываются ПД: вручную, на компьютере или смешанно.
Важно, что работодатель обрабатывает только ПД работников в целях обеспечения соблюдения трудового законодательства. Например, для оформления трудового договора с новым работником, издания приказа о награждении сотрудника, ведения табеля учета рабочего времени, составления расчетных листков.
А вот обработка ПД соискателей на вакантные должности в целях подбора персонала или создания кадрового резерва, по мнению проверяющих из Роскомнадзора, не регулируется ТК РФ, а значит, требует уведомления. Но встречаются суды, которые указывают на то, что работа с соискателями подпадает под действие Закона о занятости, который тоже является частью трудового законодательства. Поэтому уведомление не требуется при наличии письменного согласия кандидатов на обработку персональных данныхПостановление 4 ААС от 07.02.2018 № 04АП-127/2018.
Упомянутые в статье судебные решения можно найти:
Например, при формировании листа кандидата предусмотрите поле, в котором он может поставить отметку о своем согласии на обработку персональных данныхПостановление Самарского облсуда от 22.08.2016 № 4а-907/2016. Или без согласия соискателя храните только те резюме, которые были размещены самими кандидатами в открытых источниках. Допустим, вы распечатали резюме с сайта по поиску работы в Интернете, доступ к сведениям с которого не ограничен.
Из Роскомнадзора может прийти запрос о представлении разъяснения, на основании чего работодатель не сдает уведомление об обработке ПДч. 4 ст. 20 Закона № 152-ФЗ.
Не игнорируйте такой запрос, направьте в ответ письмо, сообщающее о том, что вы обрабатываете только ПД работников и исключительно в соответствии с трудовым законодательством. А поэтому вправе делать это без уведомления на основании п. 1 ч. 2 ст. 22 Закона № 152-ФЗ.
Отправить такое письмо нужно в течение 30 дней со дня получения запроса из Роскомнадзора. Если этого не сделать, то орган Роскомнадзора может попытаться оштрафовать компанию за непредставление ему информации по его запросуст. 19.7 КоАП РФ; Постановление Свердловского облсуда от 17.08.2017 № 4а-421/2017.
Ситуация 2. Работодатель обрабатывает ПД сотрудников не только в связи с реализацией требований трудового законодательства. Например, работодатель собирается сделать в банке зарплатный проект или оформить работникам добровольные медицинские страховки.
Подобные отношения не являются трудовыми, ПД будут передаваться третьим лицам. Как нужно действовать в такой ситуации, нам разъяснили в Роструде.
Обязанность уведомлять Роскомнадзор об обработке ПД сотрудников
ДУДОЛАДОВ Игорь Иванович Заместитель начальника отдела контроля рассмотрения территориальными органами обращений, Роструд |
— Трудовым законодательством не предусмотрено обязательств работодателя по передаче персональных данных работника третьим лицам (например, банку, реализующему по согласованию с организацией зарплатный проект). Кроме того, работодатель не вправе сообщать персональные данные сотрудника третьей стороне без его письменного согласияст. 87 ТК РФ.
Таким образом, обработка ПД для оформления зарплатного проекта работникам не является обработкой «в соответствии с трудовым законодательством». Поэтому полагаю, что за несколько дней до того, как будут поданы сведения о работниках в банк для открытия зарплатного проекта, следует направить в Роскомнадзор уведомление по утвержденной формеутв. Приказом Роскомнадзора от 30.05.2017 № 94; ч. 1 ст. 22 Закона № 152-ФЗ; пп. 67.1.1, 67.1.4 Регламента, утв. Приказом Минкомсвязи от 14.11.2011 № 312.
Аналогичное уведомление следует направить в Роскомнадзор и в случае, если работодатель решил оформить для своих работников полисы ДМС и он не уведомлял Роскомнадзор об обработке ПД по какому-либо иному основанию.
В ситуации 2 за обработку ПД без уведомления или при подаче уведомления с неполными сведениями Роскомнадзор может оштрафоватьст. 19.7 КоАП РФ работодателя — на 3000—5000 руб. и руководителя — на 300—500 руб.
Обязательные документы для правомерной обработки ПД
Подробно о том, как составить политику обработки ПД, ЛНА о персональных данных, согласие работника на их обработку и когда оно нужно, читайте:
При плановой или внеплановой проверке (проводимой, например, по жалобе работника, который считает, что ПД обрабатываются с нарушением) специалисты из Роскомнадзора обязательно проверяют, есть ли в наличии у работодателяпп. 67.1.4, 67.1.7 Регламента, утв. Приказом Минкомсвязи от 14.11.2011 № 312:
•политика обработки персональных данных в свободном доступе (допустим, этот документ опубликован на сайте работодателя). Если такой документ не опубликован, то штраф обеспечен: для компании — 15 000—30 000 руб., для руководителя — 3000—6000 руб.ч. 3 ст. 13.11 КоАП РФ;
•положение о ПД и подписи об ознакомлении с ним всех работников, которые допущены к работе с ПД. При отсутствии такого положения или подписей работников об ознакомлении с ним штрафовать будет трудинспекция. Напомним, штраф для компании — 30 000—50 000 руб., для ее руководителя — 1000—5000 руб.ст. 87 ТК РФ; п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ; ч. 1 ст. 5.27, ст. 23.12 КоАП РФ;
•согласие работников на обработку персональных данных в определенных законом случаях (например, при передаче ПД работника третьим лицам, для обработки ПД работника, касающихся его состоянии здоровья)п. 4 ст. 86, ст. 88 ТК РФ; п. 1 ч. 2 ст. 10 Закона № 152-ФЗ. Обработка ПД в подобных случаях при отсутствии согласия чревата штрафом для организации — 15 000—75 000 руб., для руководителя — 10 000—20 000 руб.ч. 2 ст. 13.11 КоАП РФ
Кстати, содержание перечисленных документов тоже подвергается детальному изучению проверяющими. Например, если в политике или в положении нет разделов, регламентирующих обработку персональных данных уволенных сотрудников, то компании выдадут предписание о необходимости включения таких разделов в документацию и проверят его исполнение позднееПостановление АС МО от 15.01.2018 № Ф05-18981/2017.
Внимание
Обратите внимание, что обязанность подавать уведомление об обработке ПД не зависит от обязанности брать у работника согласие на обработку таких ПД. Например, для того чтобы сделать работнику медицинскую страховку или зарплатную карту, его согласие на обработку ПД не требуетсяп. 5 ч. 1 ст. 6 Закона № 152-ФЗ; Письмо Минкомсвязи от 24.03.2016 № П11-1-5405. А вот уведомление при обработке ПД по таким случаям подавать обязательно.
Допуск к работе с ПД
Для правильной организации работы с ПД в компании должны быть четко определеныст. 86 ТК РФ; ч. 1 ст. 19 Закона № 152-ФЗ:
•круг сотрудников, имеющих доступ к ПД остальных работников;
•перечень мест хранения документальных носителей ПД.
Сделайте следующее.
Шаг 1. Утвердите перечень мест хранения носителей ПД и список работников, у которых будет доступ к ПД, в том числе сотрудников, которые будут обрабатывать ПДабз. 6 ст. 88 ТК РФ; п. 13 Положения, утв. Постановлением Правительства от 15.09.2008 № 687; пп. 13—15 Требований, утв. Постановлением Правительства от 01.11.2012 № 1119. Для этогост. 88 ТК РФ:
•издайте приказ об утверждении перечня таких сотрудников. Заранее решите, кто может войти в круг таких людей. Возможно, ПД работника нужны будут для того, чтобы заказать ему билеты в командировку. Если у вас этим занимается секретарь, то он тоже должен получить доступ к ПД сотрудников компании. Кстати, законом не установлено специальных требований к образованию и уровню квалификации сотрудников, которые будут работать с ПД;
•издайте приказ об утверждении перечня мест хранения носителей ПД. Например, для хранения документов в бумажном виде в идеале должны быть отдельные помещения, закрывающиеся на ключ, имеющие сигнализацию и решетки на окнах. Если выделить такое помещение нет возможности, необходимы отдельные запирающиеся металлические шкафы;
•закрепите обязанность сотрудников, получивших доступ к ПД, не разглашать эти ПД. Можно взять с них расписку о неразглашении или прописать обязанность о неразглашении в трудовом договоре/дополнительном соглашении к нему. Например, так.
3.6. Работник обязуется соблюдать конфиденциальность в отношении любых персональных данных, доступ к которым он получит при исполнении своих трудовых обязанностей.
•уведомите сотрудников об ответственности за разглашение ПД, которые им стали известны в связи с выполнением их должностных обязанностей. Лучше сделать это в письменной форме, например в расписке о неразглашении или в отдельном уведомлении.
Настоящим ставим вас в известность о том, что в соответствии со ст. 90 ТК РФ за разглашение персональных данных работников ООО «Первый луч», ставших известными вам в связи с исполнением ваших должностных обязанностей, работодатель вправе расторгнуть с вами трудовой договор (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ). Кроме этого, в судебном порядке вас могут оштрафовать за такое разглашение на 500—1000 руб. (ст. 13.14 КоАП РФ).
Шаг 2. Назначьте ответственного за организацию обработки ПД работника. Издайте приказ такого содержания (скачать бланк).
ПРИКАЗЫВАЮ:
1. Назначить главного бухгалтера Ерофееву О.П. с 10.09.2019 ответственной за организацию обработки персональных данных.
2. Внести изменения в должностную инструкцию и в трудовой договор Ерофеевой О.П. в связи с новым назначением.
3. Ознакомить Ерофееву О.П. с перечнем мест, предназначенных для хранения документов, содержащих персональные данные сотрудников ООО «Первый луч», и передать ей ключи от шкафов, предназначенных для хранения таких документов.
4. Установить Ерофеевой О.П. ежемесячную доплату на время исполнения функций ответственного за организацию обработки персональных данных в размере 10% от должностного оклада.
Генеральный директор | | П.А. Ерохин |
С приказом ознакомлена, об ответственности за нарушение порядка обработки и защиты персональных данных работников, в том числе за их разглашение, предупреждена. Ключи от шкафов получила.
Главный бухгалтер | | О.П. Ерофеева |
09.09.2019
Уничтожение «избыточных» носителей ПД
При проверках Роскомнадзор обращает внимание на то, чтобы имеющиеся у работодателя обрабатываемые персональные данные не были избыточными по отношению к заявленным целям их обработкист. 5 Закона № 152-ФЗ. К таким фактам, по мнению ведомства, относятся, в частности:
•хранение в личном деле работника копий, снятых с документов работника (например, копий паспорта, свидетельства о рождении ребенка, свидетельства о браке);
•факт обработки ПД сотрудников, уволенных свыше 5 лет назад на момент проверки, хотя цель обработки была достигнута. Например, ПД обработаны для увольнения, исполнения требований налогового законодательства и Закона о бухучете, но продолжают храниться в личном деле уволенного сотрудникаПостановление АС МО от 15.01.2018 № Ф05-18981/2017.
Персональные данные сотрудников должны храниться в надежном месте. А работников, имеющих доступ к ПД, нужно обязать не разглашать полученные сведения
Подобные действия работодателя являются основанием для штрафа за нарушение порядка работы с ПД, который, кстати, может достигать 50 000 руб.ч. 1 ст. 13.11 КоАП РФ Во избежание ответственности и споров с Роскомнадзором советуем соблюдать следующие правила.
Правило 1. Храните только те документы, содержащие ПД, которые изданы самим работодателем. Например, приказы о приеме на работу, о предоставлении отпуска, о награждении.
Правило 2. Не игнорируйте ведение личной карточки работника. Делайте это по типовой форме Т-2, к примеру. Там есть графы для всех необходимых сведений и о сотруднике, и о его родственниках. Внесите их на основании подлинников документов, предоставленных работником, в частности, при устройстве на работу, после изменения уровня образования, семейного положения или состава семьи. Не делайте копий этих личных документов для хранения.
Правило 3. Берите копии документов только тогда, когда подходит срок для подтверждения того или иного события. Например, копии свидетельства о рождении детей для предоставления детского вычета.
Правило 4. Уничтожайте копии документов, когда вы обработали ПД, подтверждаемые ими. Делать это можно любыми способами, например при помощи шредера. Главное, чтобы в результате документы невозможно было прочитать.
Правило 5. Оформляйте уничтожение копий, которые вы брали для подтверждения какого-либо факта:
•или актом о прекращении обработки персональных данных;
•или записью о факте уничтожения персональных данных в специальном журналеп. 67.1.6 Регламента, утв. Приказом Минкомсвязи от 14.11.2011 № 312.
Форму такого акта или журнала работодатель вправе утвердить сам, пока специальных правил и унифицированных форм не установил РоскомнадзорИнформация Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных», проект закона готовится к внесению в Госдуму Минкомсвязью. Например, акт может выглядеть так (скачать бланк).
Акт уничтожения копий носителей персональных данных
г. Рязань
26.08.2019
Комиссия, созданная на основании приказа от 23.08.2019 в составе председателя Ерофеевой О.П. (главный бухгалтер), членов Проскуркина П.Р. (бухгалтер) и Фроловой П.П. (секретарь),
составила настоящий акт об уничтожении следующего носителя персональных данных сотрудников ООО «Первый луч»:
№ п/п | Вид носителя персональных данных | Дата уничтожения | Способ уничтожения | Причина уничтожения |
1 | Копия свидетельства о браке Лапушкиной Р.Л. | 26.08.2019 | Измельчение в шредере | Достижение цели обработки ПД (смена фамилии в документации с Лапушкиной на Свиридову) |
Главный бухгалтер | | О.П. Ерофеева |
Бухгалтер | | П.Р. Проскуркин |
Секретарь | | П.П. Фролова |
Уничтожить копии, требовавшиеся, например, для предоставления льгот, нужно в срок, не превышающий 30 дней с даты, когда работнику предоставлена льготач. 4 ст. 21 Закона № 152-ФЗ. Это подтвердили в Роструде.
Определение даты достижения цели обработки ПД
ДУДОЛАДОВ Игорь Иванович Заместитель начальника отдела контроля рассмотрения территориальными органами обращений, Роструд |
— Законом установлено, что в общем случае оператор ПД обязан прекратить их обработку и уничтожить персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки персональных данныхч. 4 ст. 21 Закона № 152-ФЗ. Например, работник обратился в сентябре к работодателю за материальной помощью в связи с необходимостью оплатить его лечение в декабре и предоставил копии медицинских документов, а также справку о проживающих с ним иждивенцах. При этом решение о предоставлении материальной помощи принято руководителем в сентябре, а выплата денежных средств будет в ноябре. Полагаю, что датой достижения цели обработки будет являться день перечисления денег сотруднику.
Кто оштрафует за лишние ПД в Интернете
Опубликование на официальном сайте работодателя персональных данных работников, а также информации о причинах их увольнения будет нарушением трудового законодательстваПисьмо Минтруда от 08.10.2018 № 14-2/В-803. Но за него работодателя не сможет оштрафовать трудинспекцияч. 1 ст. 5.27 КоАП РФ. Вот что нам сказали по этому поводу в Роструде.
Ответственность за опубликование ПД работников в Интернете
ДУДОЛАДОВ Игорь Иванович Заместитель начальника отдела контроля рассмотрения территориальными органами обращений, Роструд |
— Законодательство в области персональных данных состоит из Закона от 27.07.2006 № 152-ФЗ и других определяющих случаи и особенности обработки ПД законовст. 4 Закона № 152-ФЗ. В частности, общие требования к обработке ПД работника, гарантии их защиты, а также ответственность за несоблюдение норм, регулирующих обработку и защиту ПД сотрудника, предусмотрены гл. 14 ТК РФ и ст. 13.11 КоАП РФ.
В Письме Минтруда от 08.10.2018 № 14-2/В-803 указано, что в случае отсутствия согласия работников на опубликование на официальном сайте работодателя их персональных данных, включая информацию о причинах увольнения работников, действия работодателя по размещению таких сведений не будут соответствовать нормам трудового законодательства в части обработки ПДстатьи 88, 90 ТК РФ.
Обработка ПД без письменного согласия работника, когда такое согласие должно быть получено в соответствии с законодательством в области персональных данных, квалифицируется как административное правонарушение, предусмотренное ч. 2 ст. 13.11 КоАП РФ, и влечет применение штрафа как в отношении организации, так и ее должностных лиц. В ситуации с неправомерным размещением персональных данных работников на официальном сайте работодателя виновные лица подлежат привлечению к административной ответственности в рамках полномочий, имеющихся у Роскомнадзора и судовч. 58 ст. 28.3, ст. 23.1 КоАП РФ.
* * *
Кстати, планируется сократить с 3 лет до 1 года срок хранения документов, содержащих ПД соискателей, не принятых на работу. А вот срок хранения анкет, резюме и переписки при формировании кадрового резерва увеличится с 3 до 5 летпп. 438, 439 Перечня, предусмотренного проектом приказа Росархива по состоянию на 21.08.2019; пп. 663, 673 Перечня, утв. Приказом Минкультуры от 25.08.2010 № 558.