Может ли налоговая запрашивать персональные данные работника

Обновлено: 04.05.2024

Обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.

Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса РФ.

Кроме того, получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:

1. Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством Российской Федерации.

К примеру, согласно п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети Интернет, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и об их квалификации.

В соответствии с Правилами размещения в сети Интернет и обновления информации об образовательном учреждении, утвержденными постановлением Правительства Российской Федерации от 18.04.2012 N 343, образовательное учреждение должно размещать на своем официальном сайте в сети Интернет и обновлять в сроки, установленные Законом Российской Федерации от 10.07.1992 N 3266-1 "Об образовании", в том числе информацию, содержащую следующие персональные данные: фамилия, имя, отчество учредителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты, фамилия, имя, отчество руководителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты, справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений, включая филиалы и представительства, места их нахождения, графики работы, адреса электронной почты, информация о персональном составе педагогических (научно-педагогических) работников, их фамилии, имена, отчества, занимаемые должности, их уровень образования, квалификация, наличие ученой степени, ученого звания.

2. Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты", либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).

В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

3. Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона "О персональных данных" в рамках трудового законодательства.

4. При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

Работодатель, согласно ст. 22 Трудового кодекса Российской Федерации, обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности Федеральным законом "Об обязательном пенсионном страховании в Российской Федерации, Федеральным законом "Об основах обязательного социального страхования, Федеральным законом "Об обязательном медицинском страховании в Российской Федерации".

Таким образом, передача персональных данных работников в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации осуществляется без их согласия.

Согласие работника, государственного служащего не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25.04.1997 N 490, нормативными правовыми актами в сфере транспортной безопасности).

Под исключения, связанные с отсутствием необходимости получения согласия, подпадают случаи передачи работодателем персональных данных работников, государственных служащих в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации.

Так, в соответствии со ст. ст. 17, 19 Федерального закона от 12.01.1996 N 10-ФЗ "О профессиональных союзах, их правах и гарантиях деятельности" для осуществления своей уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам, в том числе осуществлять контроль за соблюдением работодателями, должностными лицами законодательства о труде, по вопросам трудового договора (контракта), рабочего времени и времени отдыха, оплаты труда, гарантий и компенсаций, льгот и преимуществ, а также по другим социально-трудовым вопросам в организациях, в которых работают члены данного профсоюза, и имеют право требовать устранения выявленных нарушений.

Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

а) договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;

б) наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;

в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

5. Обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 Трудового кодекса РФ.

При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона "О персональных данных", в том числе, получить согласие работников на передачу их персональных данных.

Содержание согласия работника должно быть конкретным и информированным, т.е. содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных.

Согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Федерального закона "О персональных данных".

Относительно обработки персональных данных уволенных работников необходимо пояснить следующее.

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета.

Так, согласно подп. 5 п. 3 ст. 24 Налогового кодекса Российской Федерации установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога.

Статья 17 Федерального закона от 21 ноября 1996 г. N 129-ФЗ "О бухгалтерском учете" определяет, что организации обязаны хранить бухгалтерскую документацию в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но при этом минимальный срок хранения не может быть менее пяти лет.

Таким образом, с учетом положений п. 2 ч. 1 ст. 6 Федерального закона "О персональных данных", согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.

По истечении сроков, определенных законодательством Российской Федерации, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом, на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Федерального закона "О персональных данных" не распространяется, и соответственно, обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.

Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.

Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.

В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем.

К примеру, к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т.д.

При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.

В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.

В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.

Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.

Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. В соответствии со ст. 64.1 Трудового кодекса Российской Федерации работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами Российской Федерации.

Обязанность получения согласия также не распространяется на обработку персональных данных соискателей, подавших документы на замещение вакантных должностей государственной гражданской службы, поскольку перечень предоставляемых документов определен Федеральным законом "О государственной гражданской службе Российской Федерации" и п. 7 Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденного Указом Президента Российской Федерации от 01.02.2005 N 112, а форма анкеты, предполагающая внесение персональных данных заявителя, утверждена распоряжением Правительства Российской Федерации от 26.05.2005 N 667-р.

Ведение кадрового резерва на сегодняшний день трудовым законодательством не регламентировано. В этом случае, обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения.

Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя, реализованной на сайте организации в сети Интернет.

Обязательным является условие ознакомления соискателя с условиями ведения кадрового резерва в организации, сроком хранения его персональных данных, а также порядком исключения его из кадрового резерва.

Необходимо отметить, что Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" предусмотрено формирование кадрового резерва (федеральный кадровый резерв, кадровый резерв федерального государственного органа, кадровый резерв субъекта Российской Федерации и кадровый резерв государственного органа субъекта Российской Федерации). Таким образом, согласие на обработку персональных данных гражданских служащих, а также иных лиц, при ведении органом государственной власти кадрового резерва не требуется.

Два основания для запроса документов

Во-первых, такие запросы вправе инициировать инспекция, которая осуществляет налоговую проверку контрагента (то есть другого налогоплательщика, связанного с адресатом запроса).

Во-вторых, инспекция может запросить документы или информацию вне рамок какой-либо налоговой проверки, а в ходе других мероприятий налогового контроля (п. 1 ст. 82 НК РФ). Например, при проверке данных учета и отчетности или во время проведения предпроверочного анализа (определение Верховного суда РФ от 23.09.20 № 307-ЭС20-13138 по делу № А56-51770/2019, постановление ФАС Уральского округа от 25.06.12 № Ф09-5408/12 по делу № А71-11479/11). Но в подобных случаях круг интересов проверяющих законодательно органичен конкретной сделкой.

Остановимся на каждом из этих оснований подробнее.

Запросы при проверке контрагента

Порядок запроса у налогоплательщика информации о его контрагенте урегулирован статьей 93.1 НК РФ. В этой статье установлено, что можно требовать в такой ситуации, а также определена процедура направления запроса. Начнем с описания данной процедуры.

Направление требования

Без этой копии требование может быть направлено только в одном случае: когда проверяемый налогоплательщик и адресат запроса состоят на учете в одной ИФНС (т.е. инспекция-инициатор запроса совпадает с инспекцией, направившей требование). В такой ситуации ИФНС не дает себе никакого поручения и, соответственно, копия поручения к требованию не прикладывается (письмо ФНС от 16.12.14 № ЕД-4-2/26018, постановление ФАС Северо-Западного округа от 18.01.08 по делу № А26-1964/2007).

ВНИМАНИЕ

Подать жалобу на решение ИФНС через оператора ЭДО Подать бесплатно

Содержание требования

Что касается содержания требования, связанного с проверкой контрагента, то тут практика исходит из фактически полной вседозволенности налоговиков. Дело в том, что Налоговый кодекс не установил для этого случая каких-либо ограничений по составу запрашиваемых документов (информации) или по кругу лиц, у которых можно их потребовать. Поэтому в большинстве случаев споры по поводу содержания требования заканчиваются победой налоговиков.

Так, Арбитражный суд Уральского округа указал, что в своих запросах ИФНС не ограничена документами, касающимися первого контрагента проверяемого налогоплательщика. Это значит, что подобные требования могут быть направлены также контрагентам второго, третьего и последующего звена (постановление от 02.08.18 № Ф09-4001/18).

А судьи Дальневосточного округа разъяснили, что статья 93.1 НК РФ не ограничивает перечень запрашиваемых документов (информации) только теми, которые являются основанием для исчисления и уплаты (удержания и перечисления) налогов и сборов. Поэтому ИФНС может затребовать абсолютно любые документы (любую информацию) по проверяемому налогоплательщику. В том числе и те, которые не связаны напрямую с подтверждением правильности исчисления и своевременности уплаты (удержания и перечисления) налогов и сборов (постановление ФАС Дальневосточного округа от 25.07.18 № Ф03-2969/2018). Также нет ограничений и по форме истребуемых данных — ИФНС вправе потребовать информацию в форме пояснений (постановление ФАС Дальневосточного округа от 17.06.14 № Ф03-1810/2014).

При этом налоговики не обязаны обосновывать свои требования и доказывать, что запрошенные сведения действительно необходимы для проверки контрагента (постановление АС Северо-Западного округа от 21.05.18 № Ф07-4963/2018). Так, Арбитражный суд Московского округа признал правомерным запрос данных об IP-адресах контрагентов, указав, что эти данные могут использоваться для определения признаков взаимозависимости и согласованности действий налогоплательщиков. А значит, они связаны с проверкой и затребованы правомерно (постановление от 05.03.19 № Ф05-1297/2019).

Также нет ограничений и по периоду проверки контрагента, в связи с которой запрашиваются документы или информация. По мнению судов, вопрос о том, относятся ли конкретные документы к проверяемому налогоплательщику, а также круг устанавливаемых при помощи этих документов обстоятельств находится исключительно в компетенции ИФНС (постановление АС Московского округа от 13.09.18 № Ф05-14465/2018). При этом инспекция не обязана разъяснять адресату запроса связь этих документов с проверкой. Достаточно лишь указать на данное обстоятельство в требовании. Таким образом, тот факт, что запрашиваемые по контрагенту документы относятся к периоду, который не охвачен проверкой, не освобождает организацию от исполнения требования (постановление АС Поволжского округа от 16.01.19 № Ф06-41326/2018).

Сведения по конкретной сделке

Составляйте договоры ГПХ по готовым шаблонам Составить бесплатно

Данный подход означает, что налоговики не могут запросить сведения в отношении операций, которые совершаются вне рамок договоров (сделок). Примеры такой операций — получение бюджетных субсидий, выплата дивидендов, внесение вкладов в имущество организации или ее уставный капитал (см. письмо Минфина от 17.07.13 № 03-01-18/28094).

На этом запреты, пожалуй, заканчиваются. Как и в случае с запросом данных по контрагентам, никаких ограничений по составу документов или информации, которые можно затребовать в отношении конкретной сделки, Налоговый кодекс не содержит. Также не запрещено истребовать документы или информацию по нескольким сделкам (определение Верховного суда РФ от 26.10.17 № 302-КГ17-15714). При этом, как уже отмечалось, круг лиц, у которых можно запросить документы (информацию) на основании пункта 2 статьи 93.1 НК РФ, фактически не ограничен: адресатом может быть как участник сделки, так и иные лица, располагающие нужными данными по сделке.

Но при этом к вопросу идентификации сделки суды также относятся достаточно вольно: инспекция вовсе не обязана указывать в требовании реквизиты (дату, номер) договора. Достаточно обозначить стороны и тип договора. Требование является обоснованным, если на основании перечня запрашиваемых документов налогоплательщик в состоянии сам определить всю информацию, идентифицирующую конкретную сделку (постановление АС Уральского округа от 27.09.18 № Ф09-5656/18).

ВНИМАНИЕ

Штрафы за неисполнение требования

Первый. Налогоплательщик обязан отреагировать на требование ИФНС о направлении документов, даже если считает его незаконным. Судебная практика исходит из того, что у получателя такого требования есть всего три законных варианта действий: известить инспекцию об отсутствии запрошенных документов, исполнить требование в установленный срок, либо обратиться в инспекцию с заявлением о продлении срока представления документов. Если налогоплательщик (организация или ИП) не совершит ни одного из этих действий, то ИФНС может оштрафовать его на 10 тыс. рублей на основании пункта 2 статьи 126 НК РФ (постановление АС Западно-Сибирского округа от 28.06.18 № Ф04-1872/2018).

Также напомним, что положения статей 137 и 138 НК РФ не предусматривают приостановление срока на исполнение требования в случае его обжалования в УФНС по региону. А значит, если обжалование не приведет к отмене требования, которое не было исполнено в срок, то организация может быть оштрафована на вполне законных основаниях.

ВНИМАНИЕ

2021 год — всплеск изменений в законодательстве по персональным данным. О том, что нужно знать кадровику, какие документы проверить и как привести их в соответствие новым требованиям, какова ответственность, рассказывает Мария Финатова, юрист по трудовому праву, эксперт в области работы с персональными данными и автор вебинара про изменения в работе с персональными данными.

• Скачайте бесплатно шпаргалку в конце статьи: случаи, когда Роскомнадзор можно не уведомлять о начале обработки персональных данных.

В конце статьи есть шпаргалка

Мария, давайте начнем с краткого обзора изменений законодательства. На что нужно обратить внимание?

Основные изменения произошли в марте и июле. К осени мы ожидаем выход нормативных правовых актов, которые будут определять порядок работы с получением согласия на распространение персональных данных через информационную систему Роскомнадзора и порядка работы в ней. Пока документы проходят официальные чтения.

С 1 марта 2021 года:

С 1 июля 2021 года:

Есть ли обязательный перечень документов по персональным данным для организаций?

Перечень обязательных документов по персональным данным, которые должны быть в каждой организации, зависит от того, каким оператором является работодатель и какие персональные данные он обрабатывает.

Оператор — это юридическое или физическое лицо (например, индивидуальный предприниматель или лицо, с которым заключен гражданско-правовой договор), осуществляющее обработку персональных данных. Круг прав и обязанностей в области обработки персональных данных будет зависеть от целей и задач конкретного оператора.

Основные обязательные документы:

• Политика в отношении персональных данных — в первую очередь должна быть в организации (ст. 18.1 Федерального закона № 152-ФЗ). ​

Обратите внимание: законодательно требований к документу не установлено. Есть разъяснения Роскомнадзора по его содержанию. Рекомендуем их учитывать.

• Локальный нормативный акт по персональным данным — определяет порядок обработки персональных данных в конкретной организации, с ним должны быть ознакомлены все работники под подпись. Наличие документа обусловлено требованием ст. 86 Трудового кодекса РФ.

При анализе содержания локального нормативного акта по персональным данным необходимо руководствоваться:

Требования к форме согласия установлены ст. 9 Федерального закона № 152-ФЗ. Количество согласий на обработку персональных данных зависит от количества субъектов, чьи данные обрабатываются в организации.

Пример: от работника необходимо получить как минимум два согласия: одно при прохождении собеседования (когда он еще соискатель) и второе, когда он уже стал работником, до заключения с ним трудового договора.

Внимание: с 1 марта 2021 года в организации нужно также оформлять новый документ — согласие на распространение персональных данных (ст. 10.1 Федерального закона № 152-ФЗ).

Это минимальный список обязательных документов по персональным данным, который должен быть в каждой организации.

Точный перечень зависит от того, какие данные обрабатываются организацией и какие законодательные требования к их обработке установлены.

Каковы штрафы за нарушения обработки и распространения персональных данных?

Все действия с персональными данными относятся к их обработке: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача, обезличивание, блокирование, уничтожение и т.д.

Любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц, считаются распространением персональных данных и требуют наличия согласия.

Ответственность предусмотрена ст. 13.11 п. 2, 2.1 КоАП РФ. В случае если порядок получения согласия нарушен, его форма неверная или в ней отсутствуют частично обязательные условия, грозит увеличенный штраф:

• для должностных лиц — от 20 000 до 40 000 руб.
• для юридических лиц — от 30 000 до 150 000 руб.

За повторное нарушение ввели новые штрафы:

• для должностных лиц — от 40 000 до 100 000 руб.
• для индивидуальных предпринимателей — от 100 000 до 300 000 руб.
• для юридических лиц — от 300 000 до 500 000 руб.

Назовите контрольные точки. Что нужно знать кадровику, чтобы не попасть на штрафы?

Что необходимо проверить:

Нужно ли уведомлять Роскомнадзор об обработке персональных данных? И что будет, если этого не сделать?

Да, уведомлять органы Роскомназдора о начале обработки персональных данных обязательно в соответствии с требованиями ст. 22 Федерального закона № 152-ФЗ, за исключением случаев, предусмотренных вышеуказанной статьей. Если вы попадаете под исключения, то уведомлять Роскомнадзор не требуется:

• перечень случаев-исключений смотрите в шпаргалке (скачайте в конце статьи).

В конце статьи есть шпаргалка

За нарушение порядка уведомления Роскомнадзора предусмотрена административная ответственность. Работодателю грозит предупреждение или наложение административного штрафа:

• для должностных лиц — от 300 до 500 руб.;
• для юридических лиц — от 3 000 до 5 000 руб.

Любой аудит начинается с определения перечня документов, которые будут подлежать проверке.

• В обязательном порядке необходимо проверить не только правильность оформления документов, но и каким образом выстроены процессы и процедуры при осуществлении обработки персональных данных.

Алгоритм действий:

1. Отберите документы по персональным данным, которые будут подлежать проверке: локальные нормативные акты, согласия от работников, соискателей, третьих лиц, и др. субъектов, чьи данные обрабатываются), приказы, инструкции, регламенты, типовые формы документов, содержащие персональные данные. Проанализируйте их на предмет соответствия требованиям действующего законодательства.
2. Проверьте порядок получения персональных данных от каждого субъекта.
3. Проанализируйте, как осуществляется обработка персональных данных за пределами организации третьими лицами и внутри организации — при передаче из отдела в отдел по электронной почте, телефону, по запросу.
4. Результаты аудита оформите актом или заключением. Форма может быть любой — главное, выявить нарушения, для того чтобы их можно было в дальнейшем устранить.

Какие самые частые нарушения допускают кадровики при работе с персональными данными?

Самые распространенные нарушения по персональным данным:

1. Обработка персональных данных соискателя и третьих лиц без получения от них согласия в установленном порядке.
2. Использование согласия на обработку персональных данных по форме, не соответствующей требованиям норм действующего законодательства.
3. Отсутствие или неразмещение Политики в отношении персональных данных на сайте организации либо необеспечение неограниченного доступа к данному документу в организации.
4. Несоответствие локального нормативного акта по персональным данным требованиям норм действующего законодательства.
5. Отсутствие в организации ответственного лица или лиц за организацию обработки персональных данных.
6. Незаконная передача персональных данных третьим лицам (без согласий либо с согласиями, оформленными с нарушениями).
7. Нарушение порядка хранения и уничтожения персональных данных в информационных системах и на бумажных носителях.
8. Нарушение порядка предоставления персональных данных или документов, содержащих персональные данные работников.

О том, как Роскомнадзор проводит проверки, на что обращает особое внимание, читайте в статье Марии Финатовой Проверки Роскомнадзора. Как подготовиться работодателю.

Какие согласия нужно взять с работника при приеме на работу?

• При приеме на работу необходимо получить от работника согласие на обработку тех его персональных данных, которые работодатель собирается обрабатывать в деловых целях, а не для исполнения требований норм действующего законодательства.

Пример: для создания адреса электронной почты, оформления визиток, поздравления с днем рождения, указания в графике работ и т.д. (ст. 6 и 9 Федерального закона № 152-ФЗ).

• Если работодатель будет распространять персональные данные работника, то ему необходимо получить на это отдельное согласие от работника (ст. 10.1 Федерального закона № 152-ФЗ).
• Еще одно согласие в обязательном порядке работодатель как оператор персональных данных должен получить до начала трудовых отношений, когда работник имеет статус соискателя и его данные обрабатываются в других целях, нежели при трудоустройстве.

Есть ли срок действия согласий, которые мы берем у работников, нужно ли их обновлять?

У согласий, которые предоставляет работник на обработку персональных данных, безусловно, есть срок действия. Его определяет сам работник — это является одним из обязательных условий в соответствии с требованиями п. 4 ст. 9 Федерального закона № 152-ФЗ.

Внимание: от корректности указанного работником срока действия согласия зависит возможность обработки оператором его персональных данных. Не рекомендуется устанавливать срок на период действия трудовых отношений, так как после увольнения работника вы обязаны будете прекратить обработку его данных, указанных в согласии, и уничтожить персональные данные в установленные законом сроки — в течение 30 дней.

На указание срока влияют цели обработки и перечень осуществляемых действий с персональными данными.

Рекомендация: при подписании согласия разъясните работнику, для чего указан срок обработки персональных данных и почему он такой. Как правило, на практике операторы сами указывают срок в форме согласия, а субъекты подписывают его и вопросов не возникает. Но следует помнить, что субъект может при подписании согласия изменить срок как на больший, так и на меньший, ведь это его законное право. Оптимально — договориться с работником и указать срок, удобный обеим сторонам. Плюс работодателю будет удобно учесть требования архивного законодательства. Например, прописать срок 75 лет.

Как реагировать на запрос сведений о работниках сторонними организациями? Кому можно отказать, а кому нет? Как аргументировать свои действия?

Когда можно предоставлять персональные данные без согласия работника

Предоставлять персональные данные субъекта сторонним организациям без его согласия можно, если эти случаи предусмотрены законом. Например, идет судебный процесс и суд делает соответствующий запрос по работнику — работодатель может сообщить сведения, получать согласие у работника он не обязан.

Когда нельзя предоставлять персональные данные без согласия работника

На практике может случиться, что в организацию поступает звонок от потенциального работодателя или из банка с вопросами о работнике. Такой запрос не предусмотрен нормами действующего законодательства. Работодатель не имеет права раскрывать данные работника третьим лицам без его согласия, которое должно быть получено с соблюдением требований ст. 9 Федерального закона № 152-ФЗ.

Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.

Как действовать при запросе данных третьими лицами

• Главное условие, чтобы это был запрос от того юридического или физического лица, кто хочет получить персональные данные. Поясните, что ответ будет предоставлен только при наличии письменного согласия субъекта персональных данных. Если данные необходимо получить вашей организации, действуйте по аналогии — направляйте официальный запрос.

Сбор сведений в рамках зарплатного проекта является обработкой персональных данных?

Да, так как банк является третьим лицом, которому будут предоставляться персональные данные работника. Для их предоставления от работника необходимо получить согласие на передачу персональных данных, в котором помимо общих условий указать название банка, адрес его местонахождения, перечень передаваемых персональных данных банку, цели передачи, перечень действий, совершаемых с персональными данными. Требования к форме согласия предусмотрены п. 4 ст. 9 Федерального закона № 152-ФЗ.

Работодатель собирает сведения о детях работников с целью вручения подарков к праздникам — как правильно оформить процедуру?

Оптимальный перечень документов на работника: какие данные запрещено требовать и хранить?

Помните, что работодатель вправе запрашивать у работника как при приеме на работу, так и в дальнейшем только те документы, которые являются обязательными по закону:

• документ, удостоверяющий личность, СНИЛС (если он есть у работника), военный билет, документ об образовании и т.д.

Обработка иных дополнительных персональных данных из документов, предоставленных работником, требует наличия согласия на обработку персональных данных от работника.

Запрашивать нужно только те документы, которые в первую очередь необходимы для выполнения требований законодательства, а во вторую очередь — для целей работодателя.

• Пример целей, определенных законом: для приема на работу, для заключения трудового договора, для начисления заработной платы, для предоставления отпуска и т.д.
• Пример целей работодателя: создание адреса электронной почты с указанием имени или фамилии работника, для оформления визиток, для поздравления с днем рождения, для заказа пропуска и т.д.

Оптимально хранить оригиналы документов, необходимые работодателю:

• к таким документам относятся трудовой договор, письменные соглашения к нему, согласия на обработку и распространение персональных данных, заявления, приказы, личная карточка Т-2.

Хранение копий документов возможно только в случаях, разрешенных законодательством, либо для исполнения обязательств по договору с третьими лицами. В противном случае, если копии документов будут храниться без достаточных на то законных обоснований, это может быть признано избыточными персональными данными по отношению к заявленным целям обработки, что, в свою очередь, нарушает порядок обработки персональных данных и влечет возможность привлечения к административной ответственности.

Рекомендации кадровикам по работе с персональными данными работников

Мы наблюдаем тенденцию стремительного изменения законодательства по персональным данным. Рекомендую держать руку на пульсе, ведь одновременно с изменениями в порядке оформления документов и процессов по персональным данным ужесточается и ответственность за нарушения.

Штрафы выросли в разы и достигают уже не тысячных, а миллионных цифр в отношении операторов, которые допускают нарушения по ПД.

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

Случаи, когда Роскомнадзор можно не уведомлять о начале обработки ПД 548.7 КБ

П равомерно ли это с учетом закона о защите персональных данных? Рассмотрим, как нужно поступать с документами и личной информацией сотрудников, чтобы не получить штраф от Роскомнадзора.

О ведении личных дел

Работодатель обязан вести личные дела сотрудников, если это прямо предписано нормативными актами. Например, такое требование установлено для органов исполнительной власти. У тех компаний, кто не попадает под действие таких актов, обязанности вести личные дела сотрудников нет. Однако иногда работодатели начинают их формировать по своей инициативе. В таком случае они сами составляют перечень документов, которые нужно включить в личное дело. Но при этом важно соблюдать закон о конфиденциальности персональных данных.

Итак, по той или иной причине в компании решено формировать личные дела работников. Прежде всего нужно составить локальный нормативный акт, который определит важные моменты и правила. Это может быть стандарт или положение. В нем целесообразно отразить все нормы оформления личных дели и состав документов.

Главное правило: не стоит собирать лишнюю информацию о сотруднике про запас — только то, что действительно важно. Иначе будут нарушены принципы работы с персональными данными.

Защита личных сведений

О работнике можно собирать только ту информацию, которая отвечает определенным целям обработки персональных данных. Иначе организация может быть оштрафована по статье 13.11 КоАП на сумму от 30 до 50 тыс. рублей. Должностное лицо получить штраф в размере 5-10 тыс. рублей, а гражданин — в сумме 1-3 тыс. рублей.

Как же правильно поступать с документами сотрудника? Обратимся к статье 65 Трудового кодекса. В ней сказано, что документы предъявляются физическим лицом при приеме на работу. Иначе говоря, документы должны быть предъявлены работодателю, после чего они возвращаются сотруднику. При этом в ТК РФ не говорится о том, что специалист работодателя вправе снимать с них копии.

Итак, без согласия работника кадровый специалист может сделать лишь следующее: взять документы сотрудника и внести информацию из них в его личную карточку Т-2.

На практике работодатели часто любят собирать разную информацию о своих сотрудниках и хранить копии их дипломов, СНИЛС, паспортов. Однако все это все эти документы содержат персональные данные работников, которые защищаются законом. Собирать личную информацию, которая соответствует законной цели. Причем цель должна быть вполне конкретной. Например, нельзя хранить персональные данные сотрудника на тот случай, если вдруг их запросит прокуратура или Служба судебных приставов. Пока такого запроса нет, эта информация работодателю не нужна. Соответственно, если он заранее ее собрал и хранит, тем самым он нарушает закон о защите персональных данных.

Важно! Обработка персональных данных гражданина допустима, если это необходимо, чтобы исполнить договор, стороной которого он является. Это сказано в части 1 статьи 6 закона о персональных данных от 27 июля 2006 года № 152-ФЗ.

Казалось бы, проблема решается просто — можно взять с работника документ о том, что он разрешает обработку своей информации. Но на самом деле этого недостаточно. Даже если сотрудник согласился, это не значит, что появилась законная конкретная цель для обработки данных.

Важно! Работодателям нужно запомнить простое правило: если нет цели, то нет и права хранить копии личных документов сотрудника.

В упомянутом законе определены принципы защиты персональных данных. Суть в следующем:

1. Должны стоять конкретные, заранее определенные цели, в соответствии с которыми собираются личные данные человека. Как только эти цели достигнуты, обработка его персональных данных должна прекращаться.
2. Нельзя собирать информацию, которая не соответствует упомянутым выше целям.
3. Обработке подлежат только те сведения, которые соответствуют указанным целям.
4. Содержание и объем обрабатываемых данных должен соответствовать цели обработки.

О согласии на обработку персональных данных сказано в статье 9 закона. Оно должно содержать опять же цель обработки, а также перечень действий, которые с этими данными могут быть совершены.

Вывод: хранить копии документов сотрудников в кадровом делопроизводстве можно только в том случае, если это нужно для конкретных целей.

О копии паспорта

В копии паспорта есть не только имя, дата рождения и прочая информация — она может являться источником биометрических персональных данных. В частности, на фото можно заметить особенности внешности человека. Такая информация охраняется законом. Соответственно, хранить копии паспортов работников нужно, во-первых, при наличии адекватных целей а, во-вторых, взяв с них согласие на это.

Подведем итоги

Итак, если работодатель планирует вести личные дела своих сотрудников, то просто приложить к ним копии документов неправомерно. Для этого необходимо, чтобы:

• было законное основание (правовой акт или внутренний документ);
• была определенная, законная и адекватная цель обработки информации;
• было письменное согласие работника на обработку его персональных данных;
• в согласии была указана цель обработки.

Эти выводы подтверждаются судебной практикой. В частности, постановлениями Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/2013 по делу № А53-12557/2013 и ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013.

Читайте также:

  
• Какой административный штраф предусмотрен для юридических лиц за невыполнение требований норм правил
  
• Пожертвование в ано налогообложение
  
• Формы государственного принуждения налоги государственные законы
  
• Укажите какие наказания предусматриваются за проступки штраф тюремное заключение предупреждение
  
• Плачу налоги вова дима где дороги