Персональные данные работника: как обеспечить сохранность информации

К персональным данным работников относится не только информация, которая создается в ходе рабочего процесса, но и любые иные сведения, касающиеся личной жизни как самого сотрудника, так и его семьи.

Что относится к персональным данным работника

Законодательство четко определяет понятие персональных данных. Регулирование и контроль в этой области важны и для работодателя, и для сотрудника фирмы.

Персональные данные в соответствии со статьей 3 Федерального закона от 27.07.2006 №152 «О персональных данных» представляют собой сведения, которые имеют отношение к определенному или определяемому на базе таких сведений гражданину, в том числе его:

• фамилия, имя и, если есть, отчество;
• год, месяц, дата и место рождения;
• адрес регистрации;
• семейное, социальное и имущественное положение;
• образование и специальность;
• доходы и иные сведения.

Этот закон содержит объемный список данных, которые имеют отношение к персональным данным гражданина.

Но, например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу. В связи с этим Трудовой кодекс РФ и более точно дает определение персональных данных сотрудника.

Например, согласно статье 85 Трудового кодекса Российской Федерации персональные данные работника — это сведения, которые нужны работодателю для того, чтобы сформировать трудовые отношения с сотрудником его компании. Иными словами, это та информация, которая дает характеристику гражданину как работнику.

Часто возникают ситуации, в ходе которых работодатель нарушает право сотрудников на сохранение конфиденциальности их персональных данных. Одновременно с этим законодательство устанавливает серьезные меры ответственности за игнорирование норм хранения и передачи персональных данных работников. 

Обычно процессом сбора и использования персональных данных сотрудников в компании занимаются специалисты отдела кадров и бухгалтерии. В трудовом договоре с работниками, которые проводят обработку персональных данных, должны быть указаны обязательства о неразглашении.

• 5 ошибок при работе с персональными данными, за которые грозят жесткие штрафы

Какие персональные данные работника нужны кадровой службе

Каких-то показателей, как и точного списка персональных данных сотрудника, Трудовой кодекс Российской Федерации не содержит. Обычно это сведения, требующиеся для формирования трудового договора, составления личной карточки сотрудника, перевода на другую должность компании и т.д.

При выяснении объема и содержания требующихся персональных данных сотрудника директор компании должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и другими федеральными законами. В ходе рабочего процесса руководитель организации использует документы двух видов.

1. Документы, предъявляемые при заключении трудового договора:

• паспорт или любой другой документ, который подтверждает личность сотрудника;
• трудовая книжка;
• СНИЛС;
• военный билет;
• диплом об образовании, свидетельства о прохождении курсов повышения квалификации, документы, подтверждающие наличие специальных знаний;
• другие документы, наличие которых предусматривается на законодательном уровне.

Эти виды документов предоставляют следующую информацию о сотруднике: фотографию, полное имя, фамилию и, если есть, отчество, дату и место рождения сотрудника, семейное положение, наличие детей, отношение к воинской службе, гражданство, город и место, в котором было получено образование, профессию сотрудника.

2. Документы, создаваемые работодателем

Документацию данной группы создаются работодателем. Трудовая книжка сотрудника может быть причислена к любой группе. Это зависит от того, была ли она у работника до того момента, как он пришел устраиваться на работу в данную организацию. На законодательном уровне она именуется как «первичная учетная документация по учету труда и его оплаты».

К подзаконным актам относят распоряжения о:

• приеме сотрудника на определенную должность в компанию;
• переводе работника на другую должность, в другое подразделение компании;
• расторжении трудового договора с сотрудником;
• премировании работника.

Также к ним относятся:

• личная карточка сотрудника;
• документация по выплатам сотрудникам заработной платы.

Помимо данных, которые дублируют информацию из первой группы документации, эти акты включают в себя сведения об общем и непрерывающемся трудовом стаже сотрудника, о датах приема на должность в компанию и о датах перевода на другую должность или в другое подразделение организации, о прохождении аттестации и ее результатах, о прохождении курсов повышения квалификации, о премировании работников, о видах и сроках отпусков, о социальных льготах, правом на которые обладает сотрудник.

Список документов, из которых работодатель может узнать персональные данные сотрудника, находится в свободном доступе. Помимо этого, в зависимости от особенностей ситуации сведения могут быть озвучены работникам в устной форме или прописаны в разнообразных анкетах. Основная часть бумаг, в которых указаны персональные данные сотрудника, находится в его личном деле.

• Ответственность директора за использование персональных данных работников без их согласия

Как должна проходить обработка персональных данных работника

Так как персональные данные работника являются сведениями, с которыми необходимо в дальнейшем совершать действия (например, сотрудникам в отделе кадров), на законодательном уровне внедрено такое понятие, как «обработка персональных данных», которое устанавливает определенные условия при работе с ними.

При работе с персональными данными необходимо соблюдать нормы, установленные российским законодательством. При работе с документацией, базами данных нужен грамотный, четкий и системный подход. Все должно быть разложено по полочкам, храниться в положенном месте и в течение определенного срока. Залогом успеха организации такой работы будут аккуратность ответственного сотрудника, а также четкие указания руководителя. В процессе обработки массива данных используют математические и компьютерные модели, статистические методы, которые помогают анализировать информацию в случае необходимости и приходить к определенным выводам.

Согласие на обработку персональных данных работника может быть отозвано их субъектом. Однако в случаях, установленных Законом № 152‑ФЗ, обработка может осуществляться и без согласия работника.

Статья 86 Трудового кодекса Российской Федерации определяет следующие требования к использованию персональных данных сотрудника, предъявляемые к предпринимателю (логично, что и к сотруднику отдела кадров) и нацеленные в первую очередь на сохранение конфиденциальности персональных данных.

1. Обработка персональных данных работника может осуществляться в строго определенных целях, а именно, для выполнения действующего на сегодняшний день законодательства, помощи сотрудникам в устройстве на работу, обеспечения личной безопасности сотрудников, контроля уровня качества осуществляемого рабочего процесса, гарантии сохранности имущества. Таким образом, в каких-либо иных целях использование персональных данных работника запрещено. Независимо от целей проведения такой процедуры субъект, личные данные которого подвергаются анализу и проверяются, должен дать своё согласие на обработку.
2. Сущность такой обработки регулируется нормативно-правовыми актами, при определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться действующим законодательством. Следовательно, информация, которая не дает никакой характеристики человеку как специалисту, не может быть запрошена у него или разглашена третьей стороне и т.д.
3. Значимое условие, которое на практике часто игнорируется, зафиксировано в пункте 3 статьи 86 Трудового кодекса Российской Федерации: все персональные данные работника должны быть получены от него самого. В ситуации, когда указанную информацию можно получить только у третьего лица, сотрудника необходимо поставить об этом в известность заблаговременно. Но одного предупреждения будет недостаточно, требуется также взять с него согласие в письменной форме. При разговоре с работником нужно рассказать ему о целях, предполагаемых источниках и методах получения его персональных данных, о характере этой информации и о последствиях. Если при работе с персональными данными согласие сотрудника в письменной форме отсутствует, такая обработка становится незаконной.
4. Во всех случаях работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и о частной жизни. Следует помнить о том, что если запрет на использование и сбор персональных данных работника о его политических и религиозных мнениях является безусловным, то Трудовой кодекс Российской Федерации допускает получение информации о личной жизни, но только в тех ситуациях, которые имеют связь с рабочим процессом, и исключительно с согласия самого работника, данного в письменной форме. В таком случае работодатель сможет оперировать вышеуказанными данными сотрудника, которые могут быть полезны при разработке систем мотивации, элементов корпоративной культуры и в прочих случаях.
5. Работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или о его профсоюзной деятельности. Как бы ни хотелось многим работодателям собирать и использовать такую информацию, законом это запрещено.
6. При принятии решений, затрагивающих интересы работника, нельзя основываться на его персональных данных, собранных исключительно путем их автоматизированной обработки или электронного сбора. Указанный запрет имеет связь с тем, что собранные персональные данные работника могут быть применены не в том контексте. В каждом случае следует руководствоваться сведениями, которые были получены при помощи использования комплексного способа сбора информации. В любом случае, какой бы продвинутой ни была система, она не может учесть человеческий фактор. Поэтому нужно анализировать все предварительные данные, полученные автоматизированным способом.
7. Защита персональных данных от их неправомерного использования или утраты обеспечивается работодателем за счет его средств и в порядке, зафиксированном в Трудовом кодексе Российской Федерации и в прочих федеральных законах.
8. Работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных, а также о своих правах и обязанностях в этой сфере. Это могут быть положение, инструкция и др. Если при трудоустройстве вновь принятого на работу сотрудника не ознакомили с этими документами, это означает, что работодатель нарушает действующие нормативно-правовые акты.
9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Если в трудовом договоре будет прописано условие о том, что сотрудник отказывается от данного права, то в этой части документ не может считаться действительным. Он не имеет юридической силы, так как противоречит законодательству РФ.
10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных. Примером таких мер является принятие локальных нормативных документов о персональных данных работников. В результате такой совместной работы повышается качество внутренних актов.

Хранение и использование персональных данных работника

В соответствии со статьей 87 Трудового кодекса Российской Федерации директор компании обязан утвердить порядок хранения и обработки персональных данных сотрудников. Данные правила могут быть закреплены в локальной нормативной документации о персональных данных работников. При этом эти нормы должны соответствовать требованиям, установленным Трудовым кодексом Российской Федерации и прочими федеральными законами.

Кроме того, при составлении документации нужно ориентироваться на примерные формы из открытых источников. Например, для разработки положения о персональных данных работников существует образец.

Ключевая документация, которая содержит персональные данные сотрудника, обычно формирует его личное дело.

Правила формирования и хранения личного дела разрабатываются работодателем. К этому процессу необходимо подходить серьезно и ответственно. Временной период хранения документации, которая содержит персональные данные сотрудника, устанавливается в соответствии с Перечнем типовых управленческих документов, формирующихся в ходе трудовой деятельности компании (утв. Федеральной архивной службой России 06.10.2000 г., в ред. Решения от 27.11.2003 г.).

Например, личные дела директоров компании, руководителей различных структурных подразделений, сотрудников, которые обладают государственными и прочими званиями, наградами, ученой степенью, сохраняются постоянно. Личные дела иных сотрудников хранятся в течение 75 лет.

Основным документом о трудовой деятельности и трудовом стаже сотрудника, который содержит и персональные данные работника, является трудовая книжка. Порядок ее ведения строго регулируется и контролируется. Грамотность, четкость и ответственность в этом вопросе важны как для работодателя, так и для сотрудников компании.

Условия хранения трудовых книжек определяются Правилами ведения и хранения трудовых книжек, выпуска бланков трудовой книжки и обеспечения ими работодателей, утвержденными Постановлением Правительства Российской Федерации от 16.04.2003 г. № 225. Сохранность документации является важнейшим фактором, когда речь идет о трудовом законодательстве РФ. В соответствии с пунктом 45 Правил ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на директора компании. Для этого распоряжением руководителя организации создается специальная должность.

Например, лицом, ответственным за хранение персональных данных и трудовых книжек, может быть сотрудник, управляющий отделом кадров. Действуют такие работники только в границах их должностных обязанностей. В реальности организовывать это хранение сложно, так как большой объем персональных данных скапливается в одном месте и сохраняется централизованно. Навести порядок в процессе передачи персональных данных поможет локальная нормативная документация, в которой можно зафиксировать, кто конкретно из управляющих и иных сотрудников и в какой степени, опираясь на их компетенции, обладает доступом к персональным данным работников.

Постановлением Федеральной службы государственной статистики от 05.01.2004 г. № 1 утверждены единые формы первичной учетной документации по учету труда и его оплаты. Согласно нему работодатель гарантирует сохранность данной документации.

Согласно распоряжению Правительства Российской Федерации от 21.03.1994 г. № 358-р подразумевается, что для сохранения документации по личному составу увольняемых сотрудников в итоге изменения, реорганизации и ликвидации организации, а также социальной защищенности работников, исполняющих трудовые обязанности по договору найма, владельцам вновь появляющихся коммерческих / некоммерческих компаний рекомендовано внести в свою учредительную документацию порядок учета и сохранности персональных данных личного состава, а также своевременного отправления их на государственное хранение в той ситуации, если компания была реорганизована или ликвидирована.

Так как обязанность по сохранению конфиденциальности персональных данных работников Трудовой кодекс Российской Федерации возлагает на директора компании, то для реализации такой защиты нужно осуществить ряд действий по формированию необходимых технических условий (например, особый вход в те помещения, где находятся персональные данные работников, оборудование пространства для хранения этих сведений, меры, нацеленные на сохранение конфиденциальности персональных данных работников от незапланированного уничтожения, потери, корректировки или их распространения третьими лицами).

• Как читать переписку сотрудников, избежав уголовного наказания

В каком случае возможна передача персональных данных работников

Одним из видов использования персональных данных работника является пересылка их как внутри компании, так и за ее границы. Требования к передаче персональных данных работника зафиксированы в статье 88 Трудового кодекса Российской Федерации.

При передаче персональных данных работника запрещается сообщать их без его согласия:

• для коммерческого применения;
• любому другому третьему лицу.

Персональные данные сотрудников собираются для внутреннего сведения и реализации нормальной трудовой деятельности компании, без согласия сотрудника не допускается их обнародование третьей стороне как в письменной форме, так и в устной.

Исключением из данного правила могут быть ситуации, когда это требуется для предупреждения угрозы жизни и здоровья сотрудника, а также в других ситуациях, которые зафиксированы в Трудовом кодексе. Например, согласно статье 228 Трудового кодекса Российской Федерации при несчастном случае на производстве директор компании в обязательном порядке должен сообщить о случившемся в ряд государственных органов.

Необходимо предупредить лиц, получающих персональные данные работника, о том, что они могут быть использованы только в целях, для которых были сообщены.

Руководитель имеет право требовать подтверждение того, что это условие соблюдается. Сотрудники, которым предоставлен свободный доступ к базе персональных данных иных работников, должны строго соблюдать конфиденциальность этих сведений. Это условие не имеет отношения к ситуациям передачи персональных данных в порядке, зафиксированном в ФЗ. Например, в соответствии со статьей 6 ФЗ от 12.08.1995 г. № 144 «Об оперативно-розыскной деятельности» при проведении данного вида мероприятия осуществляются следующие процедуры: опрос, запросы по данным участников, анализирование документации и личных вещей, снятие данных с технических каналов и т.д.

Передача персональных данных в пределах одной организации или у одного индивидуального предпринимателя должна осуществляться в соответствии с локальным нормативным актом, с которым сотрудники обязаны быть ознакомлены под роспись.

Нововведением Трудового кодекса Российской Федерации является то, что на сегодняшний день руководитель компании в обязательном порядке должен осуществлять передачу персональных данных работников в соответствии с локальной документацией и под роспись сотрудников.

Доступ к персональным данным работника разрешается только специально уполномоченным лицам. В данной ситуации специально уполномоченные сотрудники имеют право получать только те персональные данные, которые требуются им для исполнения конкретных должностных обязанностей. Таким образом, документация или сведения, которые содержат персональные данные, могут быть частично открыты для других работников (например, для управляющих отделов компании только в границах их должностных обязанностей). В реальности осуществить это сложно, так как большой объем персональных данных скапливается в одном месте и сохраняется централизованно. Навести порядок в процессе передачи персональных данных поможет локальная нормативная документация, в которой можно зафиксировать то, кто конкретно из управляющих и иных сотрудников и в какой степени, опираясь на их компетенции, обладает доступом к персональным данным работников.

Запрещается запрашивать информацию о состоянии здоровья работника, помимо тех данных, которые имеют отношение к процессу исполнения сотрудником его должностных обязанностей.

Запрос таких сведений имеет место быть в той ситуации, когда существует необходимость принять решение о переводе беременной сотрудницы на другую должность, которая исключит влияние неблагоприятных факторов согласно статье 254 Трудового кодекса Российской Федерации.

Передача персональных данных представителям работников допускается лишь в объеме, необходимом для выполнения ими указанных функций.

Таким образом, при расторжении трудового договора по решению руководителя компании на базе пунктов 2,3,5 части 1 статьи 81 Трудового кодекса Российской Федерации с сотрудником — членом профсоюзной организации руководитель компании отправляет профсоюзу копии тех документов, которые служат основанием для увольнения работника с занимаемой должности, и проект приказа согласно статье 373 Трудового кодекса Российской Федерации.

• Увольнение начальника отдела кадров: 4 способа найти основание​

Защита персональных данных работника как обеспечение безопасности

Особенно остро вопрос защиты персональных данных работника встал в 2016 году в связи с объективными процессами в государственной системе. Сохранение конфиденциальности персональных данных сотрудника можно рассматривать в ряде аспектов.

Во-первых, это гарантии, закрепленные в трудовом праве, которое является суммой всех существующих правил, регулирующих отношения в вопросе персональных данных работника.

Во-вторых, это система мероприятий организационно-правового характера, ориентированных на осуществление положений законодательства и отображающих политику руководителя компании в данной отрасли.

В-третьих, это обеспечение субъективного права работника на сохранение конфиденциальности своих персональных данных.

Отношения информационного типа складываются как между сотрудником и предпринимателем, так и между каждым из них и третьей стороной. Отношения, образовавшиеся между руководителем компании и работником, являются главными информационными связями. Поэтому их урегулированию в трудовом законодательстве отдается преимущество. Сотрудник не только в обязательном порядке должен предоставить свои персональные данные, но и обладает правом узнать достоверные сведения об условиях труда и о требованиях охраны труда на рабочем месте согласно статье 21 Трудового кодекса Российской Федерации.

В статье 210 ТК РФ зафиксировано определение «единая информационная система охраны труда». Получение от руководителя компании данных по вопросам, напрямую затрагивающим интересы сотрудников, является одной из ключевых форм участия работников в руководстве компании согласно статье 53 Трудового кодекса РФ. Работодатель должен обнародовать полную и правдивую информацию для сотрудников, необходимую для формирования коллективного договора, соглашения и контроля над его реализацией, согласно статье 22 Трудового кодекса Российской Федерации.

Специальные правила российского кодифицированного закона о труде регулируют отношения по поводу сохранения конфиденциальности персональных данных работников.

Персональные данные человека согласно действующей нормативной документации относятся к данным конфиденциального характера. В связи с этим положения Трудового кодекса Российской Федерации об охраняемой на уровне закона тайне также имеют отношение к персональным данным работника.

Деятельность руководителя компании в отношении персональных данных сотрудников регулируется императивными нормами, что объясняется публичной составляющей сферы трудового права в общем и института сохранности персональных данных сотрудника в частности.

Право на сохранение конфиденциальности персональных данных имеет абсолютный характер. Им обладает каждый сотрудник компании независимо от того, какой вклад он внес в развитие организации. В соответствии с пунктом 9 статьи 86 Трудового кодекса РФ работник не обязан отказываться от своего права на неразглашение его персональных данных.

Свое право на сохранение конфиденциальности персональных данных сотрудник может осуществлять:

• при помощи свободного доступа к своим персональным данным, в том числе и право на получение копии всех записей, которые содержат личные данные;
• при помощи назначения представителей для сохранения конфиденциальности своих персональных данных;
• при помощи получения полных сведений о персональных данных и их использования;
• при помощи предъявления руководителю компании условий об удалении или корректировке ложных либо неполных персональных данных;
• при помощи обжалования в судебном порядке всех нарушающих закон действий или бездействия при использовании и защите персональных данных сотрудников в соответствии со статьей 89 Трудового кодекса Российской Федерации.

Как разработать Положение о персональных данных работников в организации

Исходя из статей 8 и 22 Трудового кодекса России предприниматель имеет право создавать в границах своей компетенции местную нормативную документацию, которая будет предусматривать процедуру сохранения и дальнейшего использования персональных данных работника.

Локальная документация компании о персональных данных сотрудника может быть сформирована в виде положения и должностной инструкции. Обычно ее созданием занимается отдел кадров. Конкретных требований к структуре и внутреннему содержанию данной документации действующие законы не содержат, но по всеобщей сути она обязана поддерживать порядок использования персональных данных сотрудников, а также определять права, обязанности сотрудника и директора компании, ответственность за несоблюдение принятых норм.

Примерная структура положения о персональных данных

Общие положения:

• цели и задачи компании в сфере сохранения конфиденциальности персональных данных сотрудников;
• определение и содержание персональных данных работников;
• документация, которая содержит персональные данные сотрудников;
• порядок получения персональных данных работника.

Порядок хранения, использования и передачи персональных данных:

• действия, осуществляемые для защиты от неправомерного получения доступа к персональным данным работников;
• место хранения, должностное лицо, назначенное ответственным за конфиденциальность персональных данных сотрудников;
• список должностных лиц, которые имеют свободный доступ к базе персональных данных работников (директор компании, руководитель кадровой службы, специалист отдела кадров и т.д.);
• общие условия для передачи персональных данных сотрудников;
• процедура передачи персональных данных сотрудников в рамках компании (в какой отдел могут быть отправлены данные сведения, порядок их хранения в этих отделах компании, список лиц, обладающих правом свободного доступа к прописанной информации в данных отделах).

Обязанности работодателя по хранению и защите персональных данных работников:

• предоставление защиты персональных данных работников;
• ознакомление сотрудников с локальной документацией, регламентирующей использование персональных данных;
• обеспечение доступа к этим данным и т.д.

Права работников на защиту персональных данных:

• на свободный доступ к личным персональным данным;
• на получение копий любого личного документа;
• на предоставление своих представителей для защиты личных персональных данных и т.д.

Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Список должностных лиц, которые обладают свободным доступом к персональным данным работников компании, необходимо прописать в качестве дополнения к положению о персональных данных.

Разработка локального нормативного акта о персональных данных работников является обязанностью работодателя, игнорирование которой может привести к наложению административной ответственности по статье 5.27 КоАП Российской Федерации в виде штрафных санкций:

• на должностных лиц — в объеме от 5 до 50 минимальных размеров месячной оплаты труда;
• на лиц, которые занимаются предпринимательской деятельностью без юридического образования, — в объеме от 5 до 50 минимальных размеров месячной оплаты труда или временной остановки рабочего процесса сроком до 3 месяцев;
• на юридических лиц — в объеме от 300 до 500 минимальных размеров месячной оплаты труда или временной остановки рабочего процесса сроком до 3 месяцев.