Персональные данные физлица на примере данных о работниках 2178
Закон «О персональных данных» (Закон от 27.07.2006 № 152-ФЗ) предписывает всем юрлицам проводить обработку персональных данных с учетом определенных требований. Это необходимо, чтобы обеспечить защиту прав и свобод человека, в том числе для защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Давайте разберемся, что такое в принципе персональные данные. И учитывая, что любая организация сталкивается с обработкой персональных данных своих работников, посмотрим, какие требования предъявляются к обработке персональных данных в трудовых отношениях.
Персональные данные – это ...
Понятие «персональные данные» приведено в ст. 3 Закона от 27.07.2006 № 152-ФЗ. Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Что можно отнести к персональным данным:
- фамилия, имя, отчество;
- пол;
- возраст;
- образование, квалификация;
- место жительства;
- семейное положение, наличие детей;
- факты биографии и предыдущая трудовая деятельность;
- прочие сведения, которые могут идентифицировать человека.
Отметим, что Роскомнадзор разъяснял, что сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681). То есть организация, владеющая информацией о зарплате человека, обязана не раскрывать третьим лицам и не распространять эту информацию без согласия физлиц, если только иное не предусмотрено законом.
Далее поговорим о персональных данных работников, получать, обрабатывать и передавать которые вынуждена каждая организация-работодатель.
Какие документы содержат персональные данные работников
Персональные данные попадают в руки работодателей и при приеме на работу человека, и в процессе трудовой деятельности, и даже еще на этапе рассмотрения кандидатов, претендующих на работу в конкретной организации. Персональные данные содержатся в следующих документах:
- анкеты, автобиографии, которые заполняют соискатели при приеме на работу;
- копия паспорта;
- копии документов об образовании;
- копия СНИЛС;
- трудовой договор с работником;
- личная карточка Т-2 на работника;
- трудовая книжка работника;
- сведения о трудовой деятельности, которые заполняет организация при приме на работу человека, его увольнении, кадровых передвижениях;
- копии свидетельств о заключении или расторжении брака, свидетельств о рождении ребенка;
- документы воинского учета;
- кадровые приказы в отношении работника и т.д.
Обработка персональных данных работников
Обработка персональных данных – это любые действия (операции), совершаемые с персональными данными с использованием или без использования средств автоматизации. То есть это сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, удаление и уничтожение персональных данных (ст. 3 Закона от 27.07.2006 № 152-ФЗ).
До того, как работодатель начнет обрабатывать персональные данные работников, он должен уведомить об этом Роскомнадзор (ч. 1 ст. 22 Закона от 27.07.2006 № 152-ФЗ). Форма уведомления о намерении осуществлять обработку персональных данных приведена в Приказе Роскомнадзора от 28.10.2022 № 180.
Подробнее об уведомлении Роскомнадзора читайте здесь.
Согласие на обработку персональных данных
И еще одно важное условие. По общему правилу обработка персональных данных производится с согласия физлица. Причем согласие должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона от 27.07.2006 № 152-ФЗ).
Более того, в определенных ситуациях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона от 27.07.2006 № 152-ФЗ), например при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Это, к примеру, ситуация, когда работодатель получает сведения о среднем заработке работника от СФР.
Можно включить согласие на обработку персональных данных в трудовой договор. Или оформить такое согласие в форме отдельного документа.
Подробнее о согласии мы рассказали в отдельной консультации.
По общему правилу работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, а также сообщать персональные данные работника в коммерческих целях без его письменного согласия (ст. 88 ТК РФ). Правда, в случае с обработкой и передачей персональных данных работников есть особенности.
Когда не требуется согласие на обработку персональных данных работников: разъяснения Роскомнадзора
Согласие не требуется в тех случаях, когда обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей (п. 2, 5 ч. 1 ст. 6 Закона от 27.07.2006 № 152-ФЗ).
По данному вопросу были следующие Разъяснения Роскомнадзора в КонсультантПлюс.
- Обработка персональных данных работника не требует получения согласия этого лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным Трудовым кодексом.
- Не требуется получение согласия на обработку персональных данных при обработке специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции в рамках трудового законодательства. В частности, речь идет об обработке персональных данных по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ).
- Не требуется согласие работника на передачу персональных данных работника третьим лицам в случаях, когда это предусмотрено Трудовым кодексом или иными федеральными законами. Так, в частности, работодатель обязан осуществлять обязательное социальное страхование работников. То есть передача персональных данных работников в Социальный фонд России может производиться без согласия работников.
Кроме того, работодатель в силу требований закона без согласия работника передает персональные данные работников в налоговые органы, военные комиссариаты, профсоюзные органы.
- Согласие работника не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, например при его командировании.
- Передача персональных данных работника банкам, открывающим и обслуживающим платежные карты для начисления зарплаты, может производиться без его согласия в следующих случаях:
- договор на выпуск банковской карты заключается напрямую с работником и в тексте договора предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
- у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск банковской карты и ее последующем обслуживании;
- соответствующая форма и система оплаты труда (безналичным способом на банковские карты работника) прописана в коллективном договоре (ст. 41 ТК РФ).
3. Не требуется согласие работника при обработке персональных данных работника для пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что работодатель сам организовал этот пропускной режим.
4. Если поступают запросы из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
Право работника на доступ к собственным персональным данным
Работники имеют право на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника (ст. 89 ТК РФ). В частности, работодатель обязан выдать работнику копии документов, связанных с работой (в частности, кадровых приказов), выписки из трудовых книжек, справки о зарплате, периодах работы в данной организации, сведения о трудовой деятельности по утвержденной форме СТД-Р и т.д. Срок – в течение 3-х рабочих дней со дня поступления заявления от работника (ст. 62, 66.1 ТК РФ).
Защита персональных данных работников
Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту данных от неправомерного их использования или утраты. То есть порядок хранения и использования персональных данных работников устанавливается самим работодателем (ст. 87 ТК РФ).
Безусловно, в процессе работы возникают ситуации, когда одним работникам нужны персональные данные других работников. Например, бухгалтер начисляет работникам зарплату и подает на них определенные сведения в ИФНС и СФР. То есть ему нужен доступ ко многим (почти всем) персональным данным всех работников. Руководителю отдела нужны данные о зарплате своих подчиненных для контроля за выполнением трудовых обязанностей. Руководителю могут понадобиться паспортные данные работников, на которых он выписывает доверенность.
Работодатель может разрешить доступ к персональным данным работников только специально уполномоченным лицам. Причем им должны быть доступны только те данные, которые необходимы для выполнения конкретных функций (ст. 88 ТК РФ). Конкретный перечень работников, которые имеют доступ к персональным данным других работников, должен быть установлен локальным нормативным актом организации и приказом организации. Как правило, такой локальный нормативный акт называют Положение об обработке и защите персональных данных.
Кроме того, с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, надо подписать соглашение о неразглашении данных, которые им стали известны в ходе трудовой деятельности (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2).
Нужно ли менять трудовой договор при изменении персональных данных работника
Законодательно этот вопрос не урегулирован. Но, конечно, удобнее, когда трудовой договор содержит актуальные сведения. Поэтому можно заключить дополнительное соглашение к трудовому договору. В котором прописать изменившиеся персональные данные работника, например новую фамилию.
Ответственность за нарушения в области персональных данных
Работодатель, допустивший нарушения в области персональных данных, может быть привлечен к административной ответственности. Приведем размеры штрафов за некоторые нарушения (ст. 13.11 КоАП РФ).
Вид нарушения | Штраф на юрлицо | Штраф на должностное лицо |
---|---|---|
Обработка персональных данных без согласия физлица, когда такое согласие обязательно в силу закона | 300 000 – 700 000 руб. | 100 000 – 300 000 руб. |
Обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие | ||
Повторное допущение вышеуказанных нарушений | 1 000 000 – 1 500 000 руб. | 300 000 – 500 000 руб. |
А вот работника, который допустил нарушения при работе с персональными данными других работников, можно привлечь:
- к дисциплинарной ответственности (замечание, выговор, увольнение по соответствующему основанию);
- материальной ответственности (возмещение причиненного ущерба);
- гражданско-правовой ответственности;
- административной ответственности (ст. 13.14 КоАП РФ).
Вы также можете ознакомиться с подборкой статей по рассмотренному выше вопросу: