Как работать с персональными данными работников в 2023 году

Что вы узнаете

• Что считается персональными данными работника
• Как наказывают работодателей и кадровиков за нарушения в работе с персональными данными
• Должен ли работодатель уведомлять Роскомнадзор
• Когда не нужны согласия на обработку персональных данных
• Сколько хранить согласия о персональных данных
• Могут ли согласия на обработку быть электронными
• Частые вопросы
• Проверьте себя и пройдите тест

Что считается персональными данными работника

Персональные данные — это ФИО работника, ИНН, СНИЛС, телефон, размер зарплаты и даты рождения его детей. Это любая информация, прямо или косвенно относящаяся к сотруднику, как указано в ст. 3 закона о персональных данных 152-ФЗ. Даже просто ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.

Кадровик сталкивается с персональными данными, когда получает резюме соискателя, сообщает охраннику данные кандидата для оформления пропуска, заполняет трудовой договор или отправляет СЗВ-ТД в Пенсионный фонд.

Любые действия кадровика с персданными работника называются обработкой персональных данных. По п. 3 ст. 3 закона о персданных обработка персданных включает в себя сбор, запись, систематизацию, использование, распространение, удаление данных.

Как наказывают работодателей за нарушения в работе с персональными данными

Как только работодатель приступил к обработке персданных, он обязан их защищать, хранить и обрабатывать по правилам закона о персональных данных, гл. 14 Трудового кодекса. Иначе Роскомнадзор оштрафует по жалобе работника или при проверке. За грубейшие нарушения возможна уголовная ответственность.

Роскомнадзор штрафует руководителя, если в компании не назначен сотрудник, ответственный за персональные данные. Переложить ответственность можно приказом о назначении или установить обязанность в должностной инструкции, трудовом договоре.

Вот популярные нарушения работодателей в работе с персданными.

Нарушение № 1. Не получают согласие работника на обработку данных, когда это нужно

Компания публикует фотографии работников на сайте компании. Это распространение информации неограниченному кругу лиц. Нужно оформить согласие работника на распространение.

Еще пример. Работодатель перечисляет зарплату работника на счет его супруги. Реквизиты счета прописаны в допсоглашении к трудовому договору с работником. Это обработка данных супруги без ее согласия. Если согласия супруги не предоставить, Роскомнадзор оштрафует при проверке.

Штраф за нарушение — до 150 тыс. рублей компании, до 40 тыс. рублей руководителю по ч. 2 ст. 13.11 КоАП РФ.

Нарушение № 2. Обрабатывают данные в непредусмотренных законом случаях

Магазин собирает и хранит справки работников об отсутствии судимости. Это обработка не предусмотренной законом информации, за которую Роскомнадзор может оштрафовать.

А вот школа имеет право запрашивать у работников такие справки и хранить их, поскольку это ее обязанность по ст. 65 ТК РФ.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 3. Получают данные для одной цели, а используют для другой

Работодатель взял копию диплома, чтобы оформить прием. А потом опубликовал его на сайте компании, чтобы подтвердить экспертность своих сотрудников. Его оштрафуют, потому что цель обработки достигнута — прием оформлен, а документ не уничтожен.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 4. Не публикуют политику обработки персональных данных

Политика обработки персданных нужна обязательно, и у работников должен быть к ней свободный доступ. Кто-то вывешивает политику на доске при входе в офис, кто-то публикует ее на сайте. Политика обязательно должна быть на сайте, если там выложены вакансии с возможностью откликнуться на них через сайт.

Штраф за нарушение до 60 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 3 ст. 13.11 КоАП РФ.

Нарушение № 5. Не вовремя реагируют на запрос гражданина о его персональных данных

Работодатель должен ознакомить работника с обрабатываемыми пересданными в день обращение или в течение 30 дней с даты получения запроса работника. Иначе оштрафуют.

Для защиты компании работодатели прописывают в политике обработки адрес для таких запросов. Это помогает избежать ситуации, когда гражданин пишет запрос на электронку отдела продаж и его запрос долго передают ответственному за обработку персданных.

Штраф за нарушение до 80 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 4 ст. 13.11 КоАП РФ.

Нарушение № 6. Не уничтожают персональные данные работника по его требованию

Гражданин и Роскомнадзор вправе письменно потребовать уточнить, заблокировать или уничтожить персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Так, одна компания размещала на сайте информацию о своих сотрудниках-специалистах. После увольнения работник потребовал удалить информацию. А компания отказалась и получила максимальный на тот момент штраф 25 тыс. рублей. С 21 марта 2021 штрафы увеличили. См. Постановление 2 КСОЮ от 30.11.2021 № 16-9529/21.

Штраф за нарушение до 90 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 5 ст. 13.11 КоАП РФ.

Нарушение № 7. Хранят данные в базах данных, находящихся не в России

Компания Twitter, Inc. отказалась хранить данные российских пользователей на территории РФ. Ее оштрафовали на 4 млн рублей. См. Постановление 2КСОЮ 16-3770/2020 от 07.07.2020.

Штраф за нарушение до 6 млн рублей для компаний по ч. 8 ст. 13.11 КоАП РФ.

Как наказывают кадровиков за нарушения обработки персданных

Вот представьте: кадровик, ответственный за обработку персданных работников, сообщает кому-то по телефону или электронной почте о психическом заболевании работника, его частной жизни. Или айтишник допускает виновную утечку данных работников.

За такие нарушения сотрудников могут привлечь к уголовной ответственности. По ч. 2 ст. 137 УК РФ возможны штрафы до 300 тыс. рублей, лишение права заниматься определенной деятельностью и даже лишение свободы.

Должен ли работодатель уведомлять Роскомнадзор

По ч. 1 ст. 22 закона о персданных все компании обязаны уведомить Роскомнадзор о своем намерении обрабатывать данные.

Но работодатель может не уведомлять Роскомнадзор, если обрабатывает данные:

• в соответствие с трудовым законодательством;
• для однократного пропуска на территорию;
• на основании согласия работника на обработку данных, разрешенных им для распространения (не путайте с согласием на обработку);
• в иных случаях, указанных в ч. 2 ст. 22 того же закона.

Например, работодатель получает номер паспорта для приема на работу, может не уведомлять. Но должен уведомить Роскомнадзор, если запрашивает у работников справки о судимости. В первом случае работодатель собирает информацию «в соответствии с трудовым законодательством», во втором «на основании согласия на обработку данных» (но не согласия на обработку данных, разрешенных для распространения).

Автосалон не подал уведомление и ошибся

Один автосалон не отправлял уведомление в Роскомнадзор, считал, что подпадает под исключения из ч. 2 ст. 22 закона о персданных, поскольку:

• обрабатывает данные работников только в пределах трудового законодательства;
• получает данные клиентов только в рамках договоров купли — продажи машины;
• пропускает на территорию по разовым пропускам.

Роскомнадзор потребовал подать уведомление. Автосалон не учел следующее:

• Работники автосалона в программе передают дилерам свои персональные данные и данные покупателей.

На передачу данных нужно согласие и уведомление Роскомнадзора.

Онлайн-магазин не подавал уведомление и был прав

Еще пример. Онлайн-магазин подпадает под исключения ч. 2 ст. 22 закона 152-ФЗ, поскольку:

• использует резюме кандидатов, полученные от кадровых агентств, и обрабатывает персданные соискателей в пределах трудового законодательства;
• обрабатывает сведения о работниках, пусть и в информационной системе, но в пределах трудового законодательства;
• применяет программы для обработки данных клиентов при дистанционной продаже товаров;
• получает данные покупателей в рамках договоров купли-продажи;
• не рассылает покупателям рекламные рассылки.

Не нужно уведомлять Роскомнадзор.

Когда уведомлять Роскомнадзор и как

Уведомлять нужно до начала обработки данных. До получения первого резюме и до приема работников. На момент написания статьи штраф за несвоевременное уведомление невысокий — до 500 рублей для руководителя и до 5 тыс. рублей для компании по ст. 19.7 КоАП РФ.

Уведомление заполняют на сайте Роскомнадзора. Отправляют на бумаге или электронно. После получения уведомления Роскомнадзор включает компанию в реестр операторов. Правила уведомления описаны в методических рекомендациях, утвержденных приказом Роскомнадзора 94 от 30.05.2017.

Когда не нужны согласия на обработку персональных данных

По ч. 1 ст. 6, ст. 9 закона 152-ФЗ компании должны запрашивать у граждан согласие на обработку персданных, как только получают к ним доступ.

Но есть ситуации, когда компании работодателей могут не получать согласия работников на обработку персданных:

1. Обрабатывают данные для исполнения заключенного с работником трудового договора (пп. 5 ч. 1 ст. 6 закона 152-ФЗ).

   Без согласия кадровик внесет паспортные данные в трудовой договор, а бухгалтер сохранит номер карты для перечисления зарплаты. Но согласие потребуется, если компания сообщает данные работника в банк для открытия зарплатной карты.

2. Обрабатывают данные для исполнения возложенных на работодателя обязанностей, функций и полномочий (пп. 2 ч. 1 ст. 6 закона 152-ФЗ).

   Информацию о размере одежды сварщиков работодатель обрабатывает без согласия, потому что по требованиям охраны труда обязан выдавать им средства индивидуальной защиты. А если компания собирает размеры для выдачи рубашек корпоративного цвета, тогда нужно согласие работников.

   Без согласия работодатель передает данные работника в налоговую, Пенсионный фонд, ФСС, трудовую инспекцию и военный комиссариат. Но должен получить у работника письменное согласие для передачи данных водителя-работника своему контрагенту (ч. 2 ст. 88 ТК РФ).

3. Обработка сведений о состоянии здоровья работника связана с возможностью выполнения трудовой функции (п. 2.3 и 3 ч. 2 ст. 10 закона 152-ФЗ).

   Школа обрабатывает данные о психическом здоровье учителей без согласия, поскольку обязана это делать по ч. 2 ст. 331 ТК РФ. Кафе обрабатывает данные о медосмотрах поваров, поскольку иначе не может допустить их к работе. В остальных случаях нужно получить согласие работников.

4. Данные нужны по условиям коллективного договора, ПВТР или других локальных нормативных актов компании (абз. 2 п. 5 разъяснений Роскомнадзора).

   Завод обрабатывает данные работников для организации пропускного режима без согласия, если порядок организации предусмотрен ЛНА работодателя.

5. Обязанность по опубликованию данных в сети Интернет предусмотрена законом (п. 1 разъяснений Роскомнадзора).

   Больница без согласия врачей публикует на сайте данные об их образовании, потому что обязана это делать в силу закона. А вот кафе может рассказывать об образовании шеф-повара только с его согласия.

6. Обрабатываются данные близких родственников работника для заполнения карточки Т-2, оформления соцвыплат, получения алиментов (п. 2 разъяснений Роскомнадзора).

   Но нельзя без согласия работников собирать сведения о датах рождения детей для вручения подарков к Новому году. Нельзя без согласия разглашать сведения о доходах сотрудника, даже если об этом просит его бывшая супруга для взыскания алиментов.

7. Обрабатываются данные уволенных работников для выполнения требований налогового, бухгалтерского учета (п. 5 разъяснений Роскомнадзора).

   Работодатели без согласия хранят заявления уволенных работников о предоставлении налоговых вычетов с копиями свидетельств о рождении детей. Поскольку по ч. 3 ст. 24 НК РФ работодатели, как налоговые агенты, обязаны 5 лет хранить документы, необходимые для исчисления налогов.

2 вида согласий работников на обработку персданных

Выше мы выявили случаи, когда можно обрабатывать данные без согласия работников. Во всех остальных ситуациях согласие нужно.

Есть 2 вида согласий на обработку:

• Согласие на обработку персональных данных.
• Согласие на обработку персданных, разрешенных работником для распространения.

Согласие на обработку персональных данных

Это «то самое, основное» согласие, про которое многие знают. В текст включают перечень персональных данных и список действий работодателя, которые он может делать с данными. Тут важно упомянуть нужные и не написать лишние данные, которые работодателю не нужны. Поэтому текст согласия для работников отличается от согласий для клиентов компании.

В этом же документе при необходимости прописывают согласия на обработку специальных категорий персональных данных (о национальности, состоянии здоровья, религиозных взглядах), биометрических (отпечатки пальцев, фотографии, видеоизображения) и на трансграничную передачу данных (передача данных кандидата на согласование учредителю компании заграницей).

Текст согласия можно оформить в виде отдельного документа или включить в состав трудового договора, п. 5 разъяснений Роскомнадзора. Его составляют по правилам ст. 9 закона о персональных данных.

Когда нужно

Работодатель должен получить согласие на обработку в следующих случаях:

1. Запрашивает данных больше, чем ему нужно по трудовому законодательству.

   Сравните:

   Нужно согласие	Не нужно
   Личный телефон работника для корпоративных визиток	ФИО и паспортные данные. Они нужны для оформления трудового договора
   Фотография для пропуска	Номер диплома об образовании. Нужен для заполнения карточки Т-2
   Личный электронный адрес для внутреннего справочника работодателя	Личный электронный адрес для выпуска неквалифицированной электронной подписи при кадровом ЭДО

2. Получает персданные у третьей стороны, п. 3 ст. 86 ТК РФ.

   Например, кадровик сомневается в достоверности диплома и направляет запрос в вуз. Или получает отзыв о соискателе у его бывшего работодателя.

   До отправки запроса нужно получить у работника письменное согласие.

3. Обрабатывает информацию о национальности, состоянии здоровья, политических взглядах, религиозных убеждениях и иные специальные категории ПД, непосредственно связанные с вопросами трудовых отношений, п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 закона о персданных.

   Например, не нужно согласие педагога на обработку сведений о его состоянии здоровья, поскольку по ч. 2 ст. 331 ТК РФ работодатель не имеет права допускать к педагогической деятельности работников с психическими заболеваниями.

4. Сообщает персданные работника в коммерческих целях, абз. 3 ст. 88 ТК РФ.

   Например, передает ФИО работника-водителя своим подрядчикам.

5. Обрабатывает биометрические персданные, ст. 11 закона о ПД.

   Например, компания использует фотографии, отпечатки пальцев для организации доступа на территорию, иные сведения, которые характеризуют физиологические и биологические особенности человека.

6. Осуществляет трансграничную передачу персданных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персданных, ч. 4 ст. 12 закона о ПД.

   Например, направляет анкеты соискателей учредителю компании в государство, не обеспечивающее защиту ПД.

7. Вносит персданные работников в общедоступные справочники, адресные книги, ч. 1 ст. 8 закона о ПД.

   Например, издает телефонный справочник работников компании и распространяет его среди посетителей компании.

Согласие на обработку персданных, разрешенных работником для распространения

Оно потребуется, если работодатель предоставляет данные работника неограниченному кругу лиц. Например, публикует фотографию работника на доске почета или на сайте компании.

Это самостоятельный документ, он оформляется отдельно от предыдущего согласия по требованиям ст. 10.1. закона о ПД и приказа Роскомнадзора 18 от 24.02.2021. Шаблон согласия можно составить онлайн, на сайте Роскомнадзора.

Когда нужно

Работодатель должен получить у работника согласие на обработку персональных данных, разрешенных работником для распространения, если раскрывает персональные данные работников неопределенному кругу лиц, п. 5 ст. 3 закона о ПД. И согласие не нужно, если распространение происходит по требованию закона.

Информация о дипломе на сайте компании

Нужно согласие работников на публикацию на сайте их ФИО, данных об образовании.

Без согласия врачей больница публикует ФИО медработников, их должности, даты выдачи диплома об образовании, специальности, квалификации, срока действия сертификата специалиста. Поскольку обязана это делать по подп. 7 ч. 1 ст. 79 закона 323-ФЗ от 21.11.2011 Об основах охраны здоровья граждан.

Без согласия учителей школа публикует на сайте ФИО, должность, преподаваемые предметы и информацию об образовании педагогического работника. Поскольку обязана это делать по п. 11 Правил, утв. Постановлением Правительства 1802 от 20.11.2021.

Публикация ФИО и телефона

Нужно согласие менеджера на публикацию его ФИО, электронной почты, телефона.

Но без согласия администрация города публикует ФИО и телефон должностного лица, которое обязано вести приемы граждан. Это предусмотрено пп. б ч. 1 ст. 13 закона 8-ФЗ от 09.02.2009 об обеспечении доступа к информации о деятельности госорганов и ОМСУ.

Предоставление персданных по запросу адвоката

Нужно согласие работника на передачу его данных третьим лицам, в том числе адвокату.

Но согласие не нужно, если адвокат действует по поручению работника. Например, по доверенности от этого работника, на основании соглашения об оказании юридической помощи с этим работником или ордера на оказание услуг этому работнику. См. п. 1 ст. 6.1 закона 63-ФЗ от 31.05.2002 «Об адвокатской деятельности и адвокатуре в РФ», Постановление Костромского областного суда 4А-97/2018 от 21.03.2018.

Предоставление персданных по запросу полиции

Нужно согласие, если запрос полицейского не соответствует закону, не содержит нужных реквизитов, подписан неуполномоченным лицом.

Но без согласия работника работодатель обязан передать персональные данные полиции, если запрос корректно оформлен и поступил в связи с расследованием уголовных дел, административных правонарушений, проверкой зарегистрированных сообщений о преступлениях (ч. 1 ст. 13 закона о полиции 3-ФЗ от 07.02.2011). Работодатели обязаны предоставлять персональные данные граждан по запросам госорганов в случаях, установленных федеральными законами (п. 2 ст. 88 ТК РФ).

Сколько хранить согласия о персональных данных

Согласия на обработку персональных данных хранят 3 года после истечения срока действия согласия или его отзыва.

К примеру, согласие дано на 1 год, значит, уничтожаем его через 4 года после выдачи. Если работник отзовет согласие досрочно, тогда уничтожаем через 3 года после отзыва. Эти правила установлены ст. 441 приказа Росархива 236 от 20.12.2019 о сроках хранения всех кадровых документов.

Может ли работник отозвать согласие на обработку персданных

Может. Любой человек имеет право отозвать согласие на обработку, подав письменное заявление. Это его право по ч. 2 ст. 9 закона 152-ФЗ.

Тогда работодатель сможет продолжить обработку персданных без согласия в пределах трудового законодательства и по иным основаниям, когда обработка возможна без согласия. Такие основания мы разобрали выше, они перечислены в п. 2–11 с. 1 ст. 6, с. 2 ст. 10, ч. 2 ст. 11 закона о персданных.

В случае отзыва согласия работодатель сможет издавать приказы, распоряжения, рассчитывать работнику зарплату. Но фотографию работника с сайта или доски почета придется убрать.

Нужно ли согласие для обработки персданных уволенного сотрудника

Согласие не требуется. Работодатель вправе обрабатывать данные уволенного работника для целей налогового и бухгалтерского учета.

Могут ли согласия на обработку быть электронными

Согласие работника на обработку персональных данных может быть подписано электронной подписью. Это предусмотрено ч. 4 ст. 9 закона 152-ФЗ. Есть 3 вида электронных подписей работников: простая, неквалифицированная и квалифицированная. Для согласий можно использовать любой вид электронной подписи. Как выбрать электронные подписи для сотрудников — читайте в статье.

Трудовой кодекс разрешает подписывать электронно не только согласия на обработку персональных данных, но и трудовые договоры, приказы об отпусках и должностные инструкции. Как перейти на электронное взаимодействие с работниками — читайте в статье. Как обмениваться с работниками электронными согласиями и другими кадровыми документами — читайте в статье.

Проверьте себя и пройдите тест

1. Кадровик больницы подписывает у врачей согласия для размещения на сайте больницы их дипломов об образовании. Он правильно поступает или нет?

   Узнать решение

   Не нужно согласие на размещение даты выдачи диплома. Скан-копию диплома можно размещать только с согласия. Медорганизации обязаны публиковать ФИО медработников, их должности, даты выдачи диплома об образовании, специальности, квалификации, срока действия сертификата специалиста. См. подп. 7 ч. 1 ст. 79 закона 323-ФЗ от 21.11.11 Об основах охраны здоровья граждан.

   Похожие нормы есть для педагогов школ, вузов. На сайтах образовательных учреждений должны быть размещены ФИО, должность, преподаваемые предметы и информация об образовании педагогического работника (п. 11 Правил, утв. Постановлением Правительства 1802 от 20.11.2021) и руководителей госорганов.

2. Нужно ли кадровику администрации Nской области получать согласие юриста департамента на публикацию его ФИО на сайте администрации?

   Узнать решение

   Согласие не нужно, только если юрист организует прием граждан.

   По ч. 1 ст. 13 закона 8-ФЗ от 09.02.2009 об обеспечении доступа к информации о деятельности госорганов и ОМСУ органы обязаны размещать в сети: ФИО руководителя подразделения или должностного лица, к полномочиям которых отнесены организация приема граждан, обеспечение рассмотрения их обращений, номер телефона, по которому можно получить информацию справочного характера (пп. б).

3. Можно ли предоставить персональные данные работника по адвокатскому запросу без согласия работника?

   Узнать решение

   Работодатель не обязан предоставлять адвокату персональные данные работника, если работник не давал согласия на передачу его данных третьему лицу.

   Но нельзя отказывать адвокату, если он действует по поручению этого работника. Например, по доверенности работника, на основании соглашения об оказании юридической помощи или ордера. См. п. 1 ст. 6.1 закона 63-ФЗ от 31.05.2002 «Об адвокатской деятельности и адвокатуре в РФ», Постановление Костромского областного суда 4А-97/2018 от 21.03.2018.

4. Надо ли предоставлять персданные работника по запросу полиции?

   Узнать решение

   Надо, если запрос соответствует закону.

   Работодатель обязан передавать персданные по запросу, в случаях, установленных федеральными законами (п. 2 ст. 88 ТК РФ). Полиция имеет право запрашивать персональные данные граждан в связи с расследованием уголовных дел, административных правонарушений, проверкой зарегистрированных сообщений о преступлениях (ч. 1 ст. 13 закона о полиции 3-ФЗ от 07.02.11).

5. Нужно ли согласие сотрудника на обработку его персданных для выдачи спецодежды?

   Узнать решение

   Не нужно получать согласие на сбор информации о размере обуви, одежды, если работодатель выдает средства индивидуальной защиты в соответствии с трудовым законодательством, когда он обязан это делать для обеспечения охраны труда по ст. 214 ТК РФ. Но есть особенность.

   Согласие потребуется, если компания выдает одежду по собственной инициативе, например, футболки корпоративного цвета для менеджеров.