Кто имеет доступ к личным делам сотрудников

Обновлено: 31.05.2024

Узнайте как работаем и отдыхаем из нашего производственного календаря на 2022 год .

Всем известна поговорка о том, что кадры решают все. Кадровый ресурс является важнейшей частью любой организации, поэтому такое большое значение имеет доступность и полнота информационной базы о каждом сотруднике. Кадровая служба формирует эту информацию в виде специального сборника документов – личного дела.

Поскольку специального законодательного регламента, обуславливающего порядок формирования и хранения личных дел, не существует, возможны путаница и разночтения в этом вопросе. Постараемся внести ясность в эту область ведения кадровой документации.

Что представляет собой личное дело

Обязательно ли вести личные дела

Большинство предпринимателей считают личные дела обязательным компонентом кадровой документации. Однако закон говорит о том, что это верно только в отношении государственных служащих.

Личные дела для работников госорганизаций

Информация о государственных и муниципальных служащих должна в обязательном порядке систематизироваться в установленной форме (Указ Президента РФ от 30 мая 2005 года № 609). Личные дела таких сотрудников призваны отражать весь их послужной список, чтобы можно было ясно увидеть, как именно изменялись их персональные данные.

Если работник переходит из одной структуры в другую, его личное дело должно последовать за ним.

На новом месте работы легче будет сложить впечатление о новом лице, а также получить дополнительную информацию об источниках дохода, связях, круге профессионального общения, а также другую информацию, облегчающую контроль.

Личные дела у предпринимателей

Ни в Трудовом кодексе, ни в других нормативных актах Российской Федерации не содержится обязательного требования вести кадровую документацию исключительно с помощью личных дел, заводимых на каждого сотрудника. Поэтому такое оформление данных о персонале вовсе не является обязательным или даже рекомендованным.

ВАЖНО! Законами РФ для юридических лиц или индивидуальных предпринимателей ведение личных дел на своих сотрудников не запрещается.

Плюсы системы личных дел для предпринимателя

Несмотря на то что никакие требования не определяют и не ограничивают состав личного дела и порядок его ведения, практика этой отрасли делопроизводства показывает несомненное удобство для руководителя этой формы хранения личной информации. Именно по этой причине повсеместная распространенность личных дел в кадровой службе сформировала миф об их обязательности.

Положительный эффект от внедрения личного учета кадров очевиден:

своевременный учет всей документации о сотруднике;
отслеживание карьерной динамики;
учет данных о возможных полагающихся льготах;
оценка перспектив профессионального роста;
сохранность и упорядоченность личной документации;
оперативный доступ ко всей совокупности кадровой информации.

На кого заводят личные дела

Однозначно можно ответить на этот вопрос только в отношении государственных служащих: на всех, поскольку того требует закон.

Поскольку для частных предпринимателей ведение личных дел не обязательно, они сами могут решать, на каких сотрудников вести эту документацию, а какие могут обойтись и без такого подробного кадрового учета. Часть руководителей, практикующих эту систему, предпочитает вести личный учет на весь персонал, чтобы систематизировать данные на каждого сотрудника. Но некоторые в целях экономии времени организовывают ведение личных дел только на некоторые категории сотрудников.

На сотрудников каких должностей обычно заводят личные дела:

руководящее звено;
заместители руководителей разных уровней;
ключевые специалисты;
сотрудники, несущие материальную ответственность;
кадровый резерв и др.

К СВЕДЕНИЮ! На таких сотрудников целесообразно завести личное дело вне зависимости от формы и времени его трудоустройства – по совместительству или на основной работе он трудится, по срочному трудовому договору или на постоянной основе.

Реже обеспечиваются личными делами должности, для которых не предусмотрены образовательные, квалификационные или другие специальные требования, например, уборщица, вахтер, дворник и т.п.

Сроки оформления личного дела

Как правило, впервые личное дело заводится на сотрудника после подписания приказа о его трудоустройстве и его ознакомления с этим приказом.

Личное дело ведется, пополняется документацией, обновляется в течение всего времени работы сотрудника на данного работодателя. В отличие от личных дел на государственной службе, у частных предпринимателей не принято предавать личные дела при смене рабочего места. Актуальность личного дела длится до его передачи в архив вследствие увольнения сотрудника.

Особенности формирования личного дела

Корректное оформление личных дел существенно облегчает работу с кадровой документацией. Практика выработала ряд рекомендаций относительно эффективного формирования личных дел:

ПОМНИТЕ! Архивы принимают на хранение личные дела только в картонных папках. Скоросшиватели и файлы для этой цели неприемлемы, они могут быть только для внутреннего использования.

Какие документы включаются в состав личного дела

Состав личных дел, как и порядок формирования, для частного предпринимательства не закреплен на законодательном уровне, но он должен быть должным образом прописан в локальном акте фирмы.

Документы, которые обычно принадлежат к личному делу, условно можно разделить на несколько групп:

Первичная документация при приеме на работу. К таковой относятся те документы, что сотрудники предоставляют при трудоустройстве, и те, которые заполняются и заводятся непосредственно при оформлении. Это могут быть:
- резюме;
- документы об образовании и квалификации;
- копии удостоверяющих документов (паспорта, СНИЛС, идентификационного кода, если он есть);
- рекомендации или отзывы от предыдущих работодателей (при необходимости);
- документ или его копия о воинском учете (если имеется);
- справка об отсутствии судимости (нужна при приеме на определенные должности);
- данные медосмотра;
- заполненная анкета (если это предусмотрено);
- заявление о трудоустройстве;
- копия приказа о приеме;
- заключенный трудовой договор и т.д.
Бумаги, которые появились в процессе работы на данной должности. Они могут отражать профессиональные достижения работника или его социальную динамику. К ним могут быть отнесены:
- различные квалификационные удостоверения;
- водительские права;
- свидетельство о браке или разводе, если эти события имели место во время занятости;
- свидетельства о рождении детей (то же обоснование);
- должностная инструкция;
- заключаемые допсоглашения (если это делалось);
- копия договора о материальной ответственности (если должность его предусматривает);
- акты о прохождении аттестации;
- данные очередных медосмотров;
- документы об установлении медограничений или инвалидности (если это случилось во время работы);
- копии приказов про внутреннее изменение должности (перевод, повышение, понижение и др.);
- данные о дисциплинарных взысканиях и рабочих поощрениях;
- заявления на отпуск;
- докладные, объяснительные, служебные записки и т.д.
Документы, закрывающие трудовые отношения с данным работодателем. Прежде чем дело будет прекращено, его надо должным образом завершить. Последними документами в папке личного дела могут быть:
- заявление на увольнение;
- копия приказа об увольнении;
- документы об увольнении в связи с внешним переводом;
- свидетельство о смерти сотрудника.

Прием от работника фото для хранения в личном деле не считается обработкой биометрических персональных данных. Ведь кадровик не будет по фото устанавливать личность человека, это просто элемент анкеты. Следовательно, получение фото для этих целей рассматривается как обработка (сбор) обычных персональных данных, как то: паспортные данные, адрес и прочее. Нужно ли получать согласие на обработку в этом случае?
Посмотреть ответ

Как правильно оформить личное дело

ВАЖНО! Рекомендации по ведению личных дел от КонсультантПлюс доступны по ссылке

Деловая документация должна вестись в соответствии с общепринятыми требованиями, пусть даже они не закреплены законодательно, это повышает эффективность ее использования. Эта ответственность внутренним нормативным актом возлагается на определенного сотрудника, чаще всего представителя кадровой службы предприятия.

Его обязанности составляют:

первичное заведение личного дела;
внесение в него новых записей и документов;
изъятие документов временного хранения с истекшим сроком или уже недействительных;
при необходимости заверение копий;
внутренняя опись входящих в дело документов;
плановая проверка состояния личных дел;
ежегодное ознакомление сотрудника с личным делом под его роспись;
хранение дел;
помещение неактуальных дел в архив.

ВАЖНО! Сотрудник, ведущий личные дела, должен иметь разрешенный доступ к персональным данным работников.

Обложка личного дела

Личное дело представляет собой совокупность большого количества документов, что диктует обязательность какого-либо способа легкого поиска нужной информации. Принято систематизировать сведения из личного дела на титульном листе (обложке). Удобно пользоваться требованиями к оформлению обложки, которые остались неизменными с 17.07.1972 года (ГОСТ17914-72):

сверху оставляется место для будущего архивного штампа;
сверху по центру располагается полное и сокращенное наименование организации;
ниже указывается структурное подразделение (нужно оставить несколько строк для отражения информации о возможной перемене отдела);
номер дела (по номенклатуре, принятой в фирме);
фамилия, имя и отчество сотрудника, на которого заводится дело;
правый нижний угол несет информацию о сроках ведения дела: дате открытия, то есть дня приема на работу, и дате закрытия (приказа об увольнении);
здесь же пишется количество листов в деле на момент описи;
срок хранения дела.

Опись состава личного дела

Все документы, попадающие в ту папку, должны нумероваться и подшиваться, а также занимать свое место в перечне документов.

Опись документов личного дела может располагаться на внутренней стороне картонной обложки папки либо быть подшита последней.

После таблицы словами и цифрами пишется количество документов и входящих в опись листов. В конце ставится дата проведения описи и подпись исполнителя с расшифровкой.

Ведение личных дел

Порядок ведения кадровой документации должен быть подробно изложен в соответствующем Положении, принятом на фирме. Он может предусматривать ряд учетных процедур:

ОБРАТИТЕ ВНИМАНИЕ! Если исправляется ошибка, неточность или следствие перемены, это нужно делать по аналогии с трудовыми книжками: зачеркивать неверное одной чертой, сверху писать правильный вариант, а на полях ставить отметку о верности исправления и его дате.

Кому можно выдать личное дело

В отличие от трудовых книжек, личные дела при увольнении не возвращаются и вообще не выдаются на руки работникам. Сотрудники только могут пролистать его раз в год и поставить свою подпись о том, что все в нем отражено верно.

По специальному запросу личные дела могут получить только представители правоохранительных органов или органов государственного контроля.

Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.

Что говорит законодательство?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

Что говорит Роскомнадзор?

На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.

На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:

сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);

отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

Выводы

Роскомнадзор не опровергает разъяснения на сайте, но на публичных мероприятиях его представители приводят критерии, по которым фотография в СКУД не относится к биометрическим персональным данным. Аналогичный подход все чаще встречается и в результате проверок регулятора. При этом, как видно из приведенного выше судебного решения, совсем недавно суд придерживался другой позиции, ссылаясь на разъяснения Роскомнадзора. Таким образом, сегодня есть риски получения предписаний и штрафов в случае отсутствия согласия в письменной форме на обработку биометрических персональных данных при использовании фотографии в СКУД. Поэтому рекомендуется получать согласие субъекта персональных данных. Согласие должно быть оформлено в соответствии с требованиями ст. 9 Закона № 152-ФЗ. Еще один вариант минимизировать риск — указать во внутренних нормативных документах (например, в регламенте о пропускном и внутриобъектовом режимах), что фотографии в СКУД обрабатываются не с целью идентификации личности, а для организации пропускного режима. Однако при таком способе есть риски получить предписание в случае проверки Роскомнадзора.

Относится ли номер телефона к персональным данным?

Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.

Что говорит законодательство?

Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО "Яндекс Справочник". Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.

Выводы

Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?

Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.

Что говорит законодательство?

В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:

для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.

Что говорит Роскомнадзор?

На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.

По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

не указан перечень организаций, в которые передаются персональные данные;

требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).

В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.

Выводы

В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.

Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.

Что относится к персональным данным

Статья 3 Закона №152-ФЗ говорит, что персональные данные — это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Это следующая информация о лице:

Ф. И. О.;
пол;
дата рождения;
место рождения;
фотография или видеозапись, которая позволяет установить личность;
адрес;
семейное положение, информация о детях и родственниках;
образование, квалификация, сведения о повышении квалификации;
профессия;
факты биографии и трудовой деятельности;
доходы,сведения о зарплате;
деловые и иные личные качества.

Приведенный перечень сведений является открытым, его дополняют необходимыми пунктами. Персональные данные нужны работодателю для оформления и поддержания трудовых отношений (см. ст. 85 ТК РФ). Информация о работнике содержится в таких документах:

анкета, автобиография заполненная при приеме на работу;
трудовой договор;
документ, удостоверяющий личность (паспорт, заграничный паспорт, военный билет, временное удостоверение личности);
личная карточка № Т-2;
трудовая книжка и сведения о трудовой деятельности (СТД-Р, СТД-ПФР, СЗВ-ТД);
свидетельства о браке, о рождении детей;
СНИЛС;
военный билет;
документ об образовании;
ИНН;
водительское удостоверение;
медицинская книжка (если требуется);
справка о доходах с прошлого места работы.

Важно! Персональные данные работника — конфиденциальная информация. Это значит, что их нельзя разглашать ее без письменного согласия сотрудника (ст. 3 Закона №152-ФЗ).

Обработка персональных данных сотрудника

Обработка персданных — это действия с личной информацией работника, когда работодатель принимает сотрудника в штат или заключает договор ГПХ; работник продвигается по карьерной лестнице и т. д. Во время обработки соблюдайте требования ст. 5 Закона о персональных данных:

у обработки должны быть конкретные и законные цель и основание;
нельзя объединять базы данных, которые содержат персональные данные, обрабатываемые в несовместимых целях;
обрабатывать можно только те данные, которые соответствуют цели обработки;
форма хранения персональных данных должна позволять определять субъекта этих данных, а хранить их можно только в течение необходимого срока, после чего следует обезличить или уничтожить;
запрещена передача личных сведений работника третьим лицам без его письменного согласия;
персональные сведения передает сам гражданин.

Работодатель должен действовать в целях соблюдения законов и других нормативных актов, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения безопасности, контроля работы, сохранности имущества компании. Работодатель имеет право получать персональные данные только у работника, если же их можно получать от третьих лиц, необходимо уведомить работника и получить его письменное согласие.

Работодатель обязан обеспечить защиту персональных данных, поэтому в локальных актах предприятия нужно прописать Правила защиты личных сведений о работниках. Работники обязаны ознакомится с этими правилами и расписаться о согласии с документом. Для порядка и безопасности организации нужно создать положения и приказы для работы с персданными. Во время проверки у вас должны быть подготовлены: Положение о персональных данных, Заявление работника с согласием на обработку личных данных, Приказ о назначении ответственных за работу с личной информацией работников, Приказ об обеспечении безопасности личных сведений работников.

С 1 сентября 2021 года появились требования к согласию на обработку персональных данных, разрешенных для распространения. Оно должно содержать следующую информацию (Приказ Роскомнадзора от 24.02.2021 № 18):

Ф.И.О. субъекта;
контактная информация;
сведения об операторе (организации, физлице, ИП);
сведения об информационных ресурсах оператора, на которых будут раскрыты персональные данные субъекта;
цель обработки персональных данных;
категории и перечень персональных данных, на обработку которых дано согласие;
категории и перечень персональных данных, на обработку которых субъект устанавливает условия и запреты;
условия передачи полученных персональных данных;
срок действия согласия на обработку.

Это согласие нужно именно работодателю, так как в случае спора он обязан доказать, что имел согласие на обработку. Например, оно точно потребуется при получении данных работника у третьей стороны, при передаче его персональных данных третьим лицам для предупреждения угрозы жизни и здоровью и пр., для обработки специальных категорий данных.

Категории персональных данных

По Методическим рекомендациям Роскомнадзора все категории персональных данных делятся на три:

Персональные данные — любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Это Ф.И.О., дата рождения, адрес, номер телефона, семейное положение, прежнее место работы и т.д.

Специальная категория — раса и нация, политические взгляды, религия, состояние здоровья, интимная жизнь.

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность.

Хранение и использование данных о персонале

Работодатель обязан ввести порядок хранения и использования сведений о работниках (ст. 87 ТК РФ).

Документы по сотрудникам рекомендуется не объединять в личное дело. Так как позиции Роскомнадзора и судов не однозначные — личные дела считают избыточным по отношению к заявленным целям обработки.

Правила передачи персданных налагают на работодателя ряд ограничений. Ограничения устанавливаются согласно статье 88 ТК РФ:

известите лиц, которые получили доступ к информации о работнике, что ее следует использовать только в тех целях, для которых они были сообщены;
передача данных внутри одной компании должна проходить согласно правилам локального акта, с которым работник был ознакомлен;
доступ к данным получают только специально уполномоченные лица;
запрещено делать запрос о здоровье работника у медицинского учреждения.

Работники имеют право на предоставление полной информации об их личных сведениях и их обработке (кому передавались сведения и для чего). Также нужно обеспечить сотрудникам свободный доступ к своим личным сведениям и медицинским данным. Помните, что работник имеет право обжаловать в суде незаконные действия работодателя и привлечь должностное лицо-нарушителя к уголовной или административной ответственности.

Ответственность за нарушение правил работы с личной информацией

В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.

Работодателя могут привлечь к административной ответственности по ст. 13.11 КоАП РФ. Так, за обработку персональных данных без письменного согласия работника или с нарушением требований к нему будет наложен штраф:

Категория	Первое нарушение	Повторное нарушение
Гражданин	6 000 - 10 000 рублей	10 000 - 20 000 рублей
Должностное лицо	20 000 - 40 000 рублей	40 000 - 100 000 рублей
ИП	100 000 - 300 000 рублей
Юридическое лицо	30 000 - 150 000 рублей	300 000 - 500 000 рублей

Для работников, имеющих доступ к персональным данным, предусмотрены различные виды ответственности за их разглашение:

Кдисциплинарной ответственности относятся замечание, выговор, увольнение.
К административной ответственности относится штраф: для граждан — 500-1000 рублей, для должностных лиц — 4000-5000 рублей,
К материальной ответственности привлекаются работники, которые непосредственно обрабатывают персональную информацию. В случае незаконного распространения информации сотрудник организации может заявить о моральном вреде и потребовать его возмещения у работодателя.
Гражданско-правовая ответственность также накладывается за причинение морального вреда гражданину, чьи права были нарушены. На нарушителя может быть наложена обязанность компенсации вреда по ст. 151, 152 ГК РФ.
Уголовная ответственность по ст. 137 УК РФ за незаконное собирание и распространение сведений о лице без его согласия предусматривает штраф в сумме до 200 000 рублей или в размере зарплаты за период до 18 месяцев, либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до года, либо принудительные работы на срок до двух лет, либо арест до 4 месяцев или лишение свободы на срок до двух лет.

Работа с личными сведениями требует высокого уровня ответственности. Соблюдайте правила и помните о контроле Трудовой инспекции.

Автор статьи: Александра Аверьянова

Ведите простой кадровый учет в веб-сервисе Контур.Бухгалтерия. Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет. А еще — ведите учет, платите налоги, сдавайте налоговую и бухгалтерскую отчетность и пользуйтесь поддержкой наших экспертов. Первый месяц работы в сервисе — бесплатно.

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные". Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

Ф. И. О. субъекта персональных данных;
контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
наименование или Ф. И. О. и адрес оператора, получающего согласие;
цель обработки персональных данных;
категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
условия разрешения и запрета обработки персональных данных;
срок, в течение которого действует согласие;
сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Нельзя распространять общедоступные персональные данные без согласия

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Субъект может отозвать согласие на распространение персональных данных

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

Ф. И. О.;
контакты (номер телефона, адрес электронной почты или почтовый адрес);
перечень персональных данных, обработка которых должна быть прекращена.

Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

Работодателям придется соблюдать новые правила в полном объеме

Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

когда договор заключается непосредственно между банком и работником;
когда у работодателя есть доверенность на представление интересов работника в банке;
когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.

Читайте также: