-
-
-
Простите, что прерываем Вас...

Этот файл доступен для скачивания только зарегистрированным пользователям. Станьте им. Регистрация быстрая.

А скачивать сможете не только этот, но и сотни других полезных шаблонов и документов для управленцев.

напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверная почта или пароль
Неверный пароль
Введите пароль
и скачать материал
Зарегистрироваться
Простите, что прерываем Вас...

Этот файл доступен для скачивания только зарегистрированным пользователям. Станьте им. Регистрация быстрая.

А скачивать сможете не только этот, но и сотни других полезных шаблонов и документов для управленцев.

напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверная почта или пароль
Неверный пароль
Введите пароль
и скачать материал
Зарегистрироваться
-

Что такое персональные данные работника и как их правильно обрабатывать

13 марта 2025
2591
Средний балл: 0 из 5
корпоративный юрист, автор портала gd.ru (Актион Управление)

Персональные данные работника – это сведения, которые касаются личной жизни человека, уровня его образования, квалификации, социального и имущественного положения, состояния здоровья и прочего. Каждая организация обладает информацией о своих сотрудниках: заполняет документацию, обменивается между подразделениями, вносит данные в электронные системы. В статье разберемся, что относится к персональным данным работника, какие операции называют обработкой, и как обращаться с личными сведениями, чтобы избежать штрафов.

Что такое персональные данные работника

Персональные данные работника – это информация, которая прямо или косвенно помогает идентифицировать человека (ст. 3 закона от 27.07.2006 № 152-ФЗ). К ней не только относится ФИО и паспортные данные, но и, например, сведения о возрасте, наличии детей, квалификации, образовании, опыте работы, месте жительства, доходах и прочие факты биографии. Закрытого перечня нет, но список таких данных можно вывести из нормативных документов и разъяснений госорганов.

Интересно: в письме от 07.02.2014 № 08КМ-3681 Роскомнадзор разъяснил, что сведения о заработной плате сотрудника также относятся к ПДн. Поэтому распространение их без согласия владельца или раскрытие третьим лицам – запрещено.

А вот номер телефона под защитой закона №152-ФЗ, только если он зарегистрирован на конкретное физлицо. Корпоративные номера, принадлежащие компании, личными сведениями не являются (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ).

Защита персональных данных работника обеспечивается в силу главы 14 ТК РФ.

Работодатель должен соблюдать определенные правила при обработке личной информации о сотрудниках: получать ее, использовать, хранить только тем способом, как того предписывает закон.

Как нельзя

Как можно

  • Указывать на корпоративном ресурсе семейный статус, наличие детей, имущественное положение – без согласования с самим сотрудником.

  • Упомянуть в интервью для СМИ, сколько зарабатывает конкретный человек в вашей организации.

  • Сообщать коллекторам, которые разыскивают должника, сведения о его месте жительства, личный номер телефона и т.д.

  • Предоставлять данные в ФНС и СФР, подавать кадровую отчетность в Росстат.

  • Использовать информацию для целей трудовых отношений: начисления заработной платы, предоставления отпусков и т.п.

  • Передавать личные сведения о должнике судебным приставам-исполнителям, если на это у вас есть юридическая обязанность: решение суда, постановление о возбуждении ИП, запрос должностного лица ФССП.

Какие персональные данные работников организации нужны кадровикам

Как правило, собирают, используют в работе и хранят сведения сотрудниках организации специалисты кадровой службы и бухгалтерии. В трудовых договорах и должностных инструкциях таких членов коллектива должны быть отдельные пункты о неразглашении персональных данных работников.

Соответственно, при нарушении они будут привлечены к ответственности: не только дисциплинарной, но и административной (ст. 13.11 КоАП) и уголовной (ст.137 УК). 

Начиная с этапа собеседования, и уже в процессе трудовой деятельности в распоряжение компании попадают разные документы физлиц, которые содержат ПДн. 

При приеме на работу

В трудовых правоотношениях

  • резюме, анкеты, тесты и опросники, которые заполняют соискатели;

  • копии паспорта;

  • документы об образовании;

  • медкнижки;

  • трудовые книжки, справки СТД-Р и СТД-СФР (электронные трудовые книжки);

  • СНИЛС;

  • военные билеты и иные документы воинского учета.

  • трудовые договоры;

  • личные карточки по форме №Т-2;

  • кадровые приказы по личному составу;

  • справки о периодических мед.осмотрах;

  • сертификаты и дипломы о повышении квалификации;

  • больничные листы;

  • копии документов о семейном положении, свидетельство о рождении детей, изменении ФИО и др.

Еще раз обращаем ваше внимание на то, что данный перечень – открытый. 

Работодатель должен сам оценивать, что является персональными данными работника. И если в документах, представленных в отдел кадров или бухгалтерию, содержится «чувствительная» информация, он обязан позаботиться о соблюдении требований законодательства о сборе, обработке, хранении, защите ПДн, а также подписать с сотрудниками обязательство о неразглашении персональных данных работников.

Что из себя представляет обработка и хранение персональных данных работника

«Мы только собираем, но не обрабатываем» – одно из распространенных заблуждений работодателей. Даже если информация не утекает за пределы офиса, нигде не публикуется открыто, посторонние не имеют к ней доступ, взаимодействие с ней все равно является обработкой.

Обработка персональных данных работника — это сбор, хранение, использование и защита информации о сотрудниках в рамках трудовых отношений, образец документа должен быть доступен каждому работнику для ознакомления.

По смыслу ст.3 закона № 152-ФЗ, к обработке относится практически любое действие (получение, систематизация, обмен, хранение и др.), которое совершается с персональными данными человека. Простой сбор резюме соискателей, если они содержат личную информацию, по которой можно идентифицировать личность, уже является обработкой ПДн. 

Обязанности работодателя перечислены в ст. 86 ТК РФ. В частности,

  • получать сведения нужно только у самого сотрудника, а если данные отдает стороннее лицо, то необходимо уведомить об этом сотрудника и заручиться его согласием;

  • обеспечивать надлежащее хранение собственными силами и за счет средств предприятия (нельзя, например, требовать деньги у подчиненных на оплату сейфов и систем защиты);

  • ознакомить коллектив под роспись со всеми локальными нормативными актами, которые устанавливают порядок обработки ПДн.

Согласно ч.1 ст. 22 закона №152-ФЗ, компания должна также уведомить Роскомнадзор о своем намерении обрабатывать ПДн работников. Форма такого уведомления утверждена Приказом ведомства от 28.10.2022 №180. Если вы осуществляете трансграничную передачу, сообщите РКН об этом отдельно (ст.12 закона №152-ФЗ). 

Трансграничная передача – это предоставление сведений иностранной организации или физлицу, а также представителям зарубежной государственной власти.

Компания должна соблюдать правила хранения и использования персональных данных работников, обеспечивая их конфиденциальность и безопасность.

Согласие работника на обработку персональных данных: когда требуется и когда не нужно

Обработку своих ПДн работник сначала должен одобрить. Чтобы потом не было споров, согласие лучше получить в письменной форме: можно включить условие непосредственно в текст трудового договора или подписать в виде отдельного документа. Убедитесь, что формулировки конкретные, предметные, информированные, сознательные и однозначные – это требование п. 1 ч. 1 ст. 6 и ч. 1 ст. 9 закона № 152-ФЗ.

Роскомнадзор также выразил мнение (разъяснения ведомства от 24.12.2012), что брать согласие на обработку ПДн работодатель должен не только у своих сотрудников, но и у соискателей. В момент собеседования в распоряжение компании попадают различные данные физлица: они содержатся в резюме, анкетах. Специалист может отдавать копии документов об образовании, квалификации и т.д. Согласно рекомендациям Роскомнадзора, необходимо уничтожить носители данных не позднее 30 дней с даты достижения цели их обработки, если соискатель не был принят на работу (см. письмо от 02.03.2020 № 13677-02-11/77).

Согласие на обработку ПДн для распространения и передачи третьим лицам должно быть оформлено отдельно от других согласий (см. приказ Роскомнадзора от 24.02.2021 № 18). Причем сотрудник вправе указать, какие конкретно данные и в каком объеме могут быть переданы. 

  • Шаблон оформления согласия на распространение и передачу персональных данных работника и образец других документов можно скачать в Системе ГенДир.

Что такое персональные данные работника и как их правильно обрабатывать

Обратите внимание, что согласие физлица не требуется, если 

  • данные обрабатываются исключительно в целях исполнения трудового договора и возложенных на работодателя обязанностей (для начисления зарплаты, расчета отпускных, сдачи отчетности, обеспечения безопасности и здоровья на рабочем месте и т.д.);

  • медицинские сведения о сотруднике напрямую связаны с возможностью выполнения им трудовой функции (например, показатели здоровья учителей образовательного учреждения – абз. 6 ч. 2 ст. 331 ТК);

  • обязанность работодателя по обработке (в т.ч. размещению в интернете) ПДн предусмотрена законодательством. Например, медицинская клиника должна представить пациентам открытый доступ к персональным данным работника (врача) об образовании, квалификации (п.7 ч.1 ст. 97 закона №323-ФЗ от 21.11.2011 г.);

  • обрабатывается информация о близких родственниках сотрудника (при удержании алиментов, оформлении социальных выплат и т.п.);

  • ПДн сообщаются третьим лицам, т.к. это необходимо для предупреждения угрозы жизни и здоровью человека (абз. 2 ст. 88). Например, специалист получил серьезную травму на рабочем месте, и руководство компании вынуждено передать личную информацию медицинской службе;

  • обработка осуществляется в отношении физлиц, с которыми трудовой договор уже прекращен, в т.ч. в рамках налогового и бухучета (пп. 5 п. 3 ст. 24 НК, ст. 29 закона от 06.12.2011 № 402-ФЗ).

Также согласие сотрудника не требуется при передаче работодателем данных в государственные органы: ФНС, СФР, военкоматы и т.д. Однако не забывайте, даже в перечисленных случаях необходимо соблюдать принципы конфиденциальности при обработке и защите персональных данных работника. 

  • Положение о защите персональных данных работников скачать в Системе ГенДир.

Интересно: контрагенты «любят» запрашивать копию паспорта генерального директора в целях проверки благонадежности фирмы. 

Руководитель является таким же работником, как и все остальные. Поэтому кадровик обязан сначала получить у него согласие на передачу персональных данных (п. 1 ст. 3 и п. 1 ч. 1 ст. 6 закона № 152-ФЗ). Далее, письменно предупредить контрагента, что данные могут быть использованы только в целях, для которых они сообщены, и требовать ответного письма – с заверением, что условия будут соблюдены со стороны контрагента и его работников.

Соответственно, отправка таких документов не является обязательной, а гендир вправе не согласиться на распространение своих данных.

Использование персональных данных работника

На основании вышесказанного мы выяснили, что использование персональных данных работника должно быть ограничено только теми целями, которые напрямую связаны с осуществлением трудовой функции и соблюдением законодательства.

Чтобы обеспечить режим конфиденциальности полученной от физлиц информации, в компании необходимо разработать и внедрить локальный нормативный акт – Положение о персональных данных работников, который регламентирует порядок обращения с ПДн, а также определяет способы их учета, выдачи и передачи.

  • Скачать образец Положения о персональных данных работника в Системе ГенДир.
    Что такое персональные данные работника и как их правильно обрабатывать

Кроме того, одним из обязательных мероприятий является ведение журналов учета. В Журнале учета внутреннего доступа к ПДн фиксируются дата выдачи и возврата документов (личных дел), срок их использования, цели выдачи и наименование документов. Члены коллектива, получающие личные дела других сотрудников, обязаны соблюдать строгие правила: не вносить изменения в документы, не извлекать из них материалы и не помещать новые записи. При возврате бумажных носителей также должна проверяться их целостность.

Работодателю также следует вести Журнал учета выдачи ПДн сотрудникам третьим лицам или госорганам. В этом документе регистрируются поступающие запросы на передачу личной информации о физлицах, сведения о лице, направившем запрос, а также дата открытия сведений или отказа в их предоставлении.

Стоит отметить, что изменение персональных данных работника возможно только по его письменному заявлению или в случаях, предусмотренных законодательством, с обязательным уведомлением сотрудника.

Как обеспечить защиту персональных данных работника

Согласно п.10 ст. 86 ТК, работодатель обязан выработать меры защиты ПДн и строго их придерживаться. Перечень обязательных мер установлен ч.2 ст.19 закона №152-ФЗ, а также постановлением Правительства от 01.11.2012 № 1119. Тип обработки данных можно выбрать самостоятельно — автоматизированный или неавтоматизированный.

При автоматизированной обработке с использованием программных продуктов и баз данных на серверах или веб-ресурсах необходимо оценить потенциальные угрозы безопасности, как это предусмотрено нормативными актами, в частности, постановлением Правительства № 1119. Важно определить уровень угроз и применить соответствующие меры защиты, такие как обеспечение безопасности помещений, назначение ответственных лиц и соблюдение стандартов, установленных ФСТЭК.

  • Скачать положение о защите персональных данных работников в Системе ГенДир и образец других документов.

При неавтоматизированной обработке данных, хранящихся в бумажном виде, работодателю необходимо организовать их хранение в защищенных местах, например, в сейфах или архивных помещениях, и ограничить доступ только для определенных сотрудников. Перечень таких лиц утверждается в соответствующем приказе. 

Комнаты, где хранятся ПДн, должны быть защищены от несанкционированного доступа, и для них может быть установлен особый режим доступа. Например, для хранения документов воинского учета рекомендуется использовать специализированные шкафы в оборудованных помещениях.

Передача персональных данных работника третьим лицам возможна только с письменного согласия сотрудника или в случаях, предусмотренных законодательством, при условии обеспечения их конфиденциальности и безопасности.

Таким образом, для эффективного соблюдения законодательства на предприятии должен быть разработан комплексный порядок работы с персональными данными работников, включающий их учет, хранение, передачу и защиту от утраты или неправомерного использования.

Подписка на журнал «Генеральный Директор»

logo
Сайт использует файлы cookie, что позволяет получать информацию о вас. Это нужно, чтобы улучшать сайт. Продолжая пользоваться сайтом, вы соглашаетесь с использованием cookie и предоставления их сторонним партнерам.