Персональные данные работников: основные обязанности и риски, с учетом последних изменений

Обязанности работодателя при обработке персональных данных работников

Основные обязанности работодателя в отношении персональных данных (далее — «ПД») работника указаны в ст. 86, 88 ТК РФ. Также, при обработке ПД обязательно нужно руководствоваться Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — № 152-ФЗ). Этот документ является основополагающим при обработке ПД всех категорий субъектов, не только работников. Какие же основные обязанности есть у работодателей в части обработки ПД сотрудников? Перечислю самые основные обязанности.

1. Уведомьте Роскомнадзор о начале обработке ПД. Способы направления данного уведомления, его содержание определены в ст. 22 № 152-ФЗ. Проверить направляла ли компания уведомление можно в Реестре операторов, осуществляющих обработку персональных данных.

2. Не передавайте без согласия ПД третьим лицам. Например, для целей формирования сотруднику визиток нужно передать его Ф. И. О. должность и мобильный номер другой компании (третье лицо), которая занимается созданием и печатью этих визиток. Но для этой передачи нужно иметь согласие от самого работника. Согласие это не произвольное, требования к нему определены в ст. 9 № 152-ФЗ. Например, помимо данных работника и работодателя, в данном согласии должна быть указана цель обработки ПД третьим лицом, перечень ПД, которые передаются ему, описание используемых способов обработки, срок, в течение которого действует это согласие и способ его отзыва. Что важно, документ должен быть конкретным, предметным, информированным, сознательным и однозначным. То есть недопустимо писать неконкретно: «Разрешаю передачу своих ПД всем третьим лицам, если это необходимо для деятельности работодателя». Но, при этом, не нужно получать согласия, если ПД передаются в соответствии с требованиями закона (к примеру, отчетность, предусмотренная законодательством в СФР, ФНС).

По теме: когда согласие на обработку персональных данных не требуется

3. Утвердите локальный нормативный акт о порядке обработки ПД работников, об их правах и обязанностях в этой области. С данным документом, конечно же, нужно ознакомить работников под подпись. Если компания обрабатывает ПД и иных субъектов (контрагенты, клиенты и т. д.), то нужно иметь документ по вопросам обработки ПД всех субъектов (определить для каждого субъекта цель обработки и перечень обрабатываемых ПД, способы, сроки их обработки и хранения, порядок уничтожения ПД). Более того, законодательство требует, чтобы компании опубликовали на сайте (если посредством сайта осуществляется сбор ПД) или иным образом обеспечивали неограниченный доступ к этим локальным актам.

4. Организуйте надежную защиту ПД, не допуская утечек. Организации самостоятельно определяют состав мер, необходимых для защиты обрабатываемых ПД. Например, приказом назначают ответственного за обработку ПД; определяют перечень должностей, допущенных к обработке ПД в компании и подписывают с ними соответствующие обязательства о неразглашении, а также знакомят под подпись данных работников с нормами № 152-ФЗ; определяют возможные угрозы безопасности ПД при их обработке в информационных системах, формируя модели угроз; приказом определяют места хранения ПД т. п.

5. Не храните вместе несовместимые данные, обработка которых осуществляется в различных целях. Например, в «личном деле» (т. е. с кадровыми документами) работника не допускается хранить гражданский правовой договор, заключенный когда-то между ним же и текущей компанией-работодателем.

Также не рекомендуется хранить избыточные ПД (золотое правило: «Перечень обрабатываемых данных должен соответствовать целям этой обработки».). Зачастую в «личном деле» работника можно обнаружить копии его паспорта, свидетельства о браке. Роскомнадзор может признать это избыточным хранением (например, см. Постановление Пятнадцатого арбитражного апелляционного суда от 14.03.2014 N 15АП-22502/2013 по делу N А53-12557/2013).

Риски при обработке персональных данных с учетом последних изменений

Безусловно, выше указаны далеко не все обязанности организаций в части обработки ПД работников, а только их часть. За нарушение норм законодательства о ПД возможна гражданско-правовая, административная и даже уголовная ответственность. Также, возможно привлечение работников, допущенных к обработке ПД, к дисциплинарной ответственности (вплоть до увольнения по подпункту «в» пункту 6 части первой ст. 81 ТК РФ: «разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника»).

Обратите внимание, что недавно в ст. 13.11 КоАП «Нарушение законодательства Российской Федерации в области персональных данных» были внесены изменения и дополнения. Например, если организация не подаст или подаст уже после начала обработки ПД в Роскомнадзор уведомление о намерении осуществлять соответствующую обработку, то должностное лицо могут штрафовать на сумму от 30 000 до 50 000 рублей, а юридическое лицо от 100 000 до 300 000 рублей. Если осуществляется обработка ПД, которая несовместимая с целями сбора ПД (например, используется без согласия фото работника не в целях, связанных с соблюдением трудового законодательства), то штраф на должностное лицо может быть от 50 000 до 100 000 рублей, на юридическое лицо от 150 000 до 300 000 рублей.