Кадровый учёт 21 сентября’23

Персональные данные работника

Утверждённый в 2006 году Федеральный закон №152-ФЗ «О персональных данных» регулярно вызывает споры и конфликты работодателей и их сотрудников. Чаще всего нарушение прав происходит из-за незнания основ закона. Избежать подобных ситуаций можно, если чётко понимать, что относится к персональным данным работника и как их правильно обрабатывать.

Аутсорсинг «Моё дело — Бухобслуживание»
Команда из бухгалтера, юриста, кадровика и бизнес-ассистента возьмёт на себя всю рутину и общение с госорганами.
Узнать подробнее
Аутсорсинг

Что относится к персональным данным

Формально в категорию персональных данных работника входят любые сведения, которые прямо или косвенно относятся к конкретному человеку. Есть два обязательных условия:

  • такая информация даёт возможность бесспорно идентифицировать их обладателя;
  • эти данные будут нужны для трудовой деятельности (например, фамилия, имя, отчество сотрудника необходимы для организации работы, а вот вероисповедание никак не влияет на её исполнение).

Важно, чтобы запрашиваемые организацией данные не были избыточными и имели чёткую цель получения. Такой подход поможет избежать разбирательств в судах.

Самые распространённые и востребованные персональные данные, это:

  • фамилия и имя (отчество — при наличии);
  • число, месяц и год рождения;
  • место рождения;
  • адрес регистрации и фактического проживания;
  • семейный статус, количество детей;
  • информация об образовании, квалификации;
  • идентификаторы — ИНН, СНИЛС;
  • паспортные данные (или данные иного документа удостоверения личности);
  • данные документа о воинской обязанности;
  • диагнозы различных медицинских учреждений (при наличии ограничений).

Могут запрашиваться и биометрические данные — фотографию лица, отпечатки пальцев, радужную оболочку глаз, рост, вес, и т.д.

Часть информации предоставляется уже на этапе проведения собеседования (данные об образовании и дипломах, фотографии), а оставшаяся часть — при устройстве на работу.

Нормативная база о персональных данных

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Нормы регулирования вопросов, связанных с персональными данными, содержатся:

  • в Трудовом кодексе РФ (ТК РФ);
  • в Федеральном законе от 27.07.2006 №152-ФЗ “О персональных данных”;
  • в Кодексе РФ об административных правонарушениях (КоАП РФ);
  • в Уголовном кодексе РФ (УК РФ).

Если Конституция гарантирует права граждан на контроль публикации информации о себе, в трудовом законодательстве речь уже идёт о регулировании деятельности работодателей. Например, сбор персональных данных кадровой службой допускается только с чёткими и ограниченными целями. В КоАП РФ и УК РФ прописывается ответственность за игнорирование и нарушение действующих правил о защите данных.

Особенности работы с персональными данными

Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.

На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:

  1. паспорт гражданина РФ (или иной документ для подтверждения личности);
  2. трудовую книжку;
  3. ИНН и СНИЛС;
  4. диплом об образовании или квалификации;
  5. документы о воинской обязанности.

Также работодатель может запросить справку об отсутствии судимостей или отрицательный тест на употребление наркотиков. Ввод информации из предоставленных документов в трудовой договор отдельного согласия не требует. После его подписания работник по умолчанию разрешает обрабатывать информацию о нём, так как это необходимо для начисления заработной платы, отправки отчётности в ИФНС и в Фонды, и т.д.

При выпуске зарплатной карты допускается отсутствие согласия на обработку персональных данных, если договор был заключен сотрудником напрямую с банком. В этом случае работодателю будет передаваться ограниченная информация.

Что делать с данными, собираемыми при помощи анкетирования

Распространённым способом сбора информации о соискателе считается анкета. Она обязательно имеет указание по сроку её рассмотрения и выдачи ответа о приёме или об отказе в приёме на работу. Также к анкете предъявляются требования пункта 7 “Положения об особенностях обработки персональных данных, осуществляемой без применения средств автоматики”, утверждённого Постановлением Правительства РФ от 15.09.2008 №687.

Важные моменты требований:

  • в анкете указывают цель обработки персональных данных, наименование оператора и перечень действий с информацией, какие могут совершаться с ними;
  • в любом месте документа кандидату предлагают оставить отметку о согласии на обработку данных (чаще всего внизу рядом с датой и подписью);
  • в теле анкеты не должно присутствовать совмещённых полей, предполагающих указание не взаимосвязанных данных.

Если анкета высылается соискателю в электронном виде, то согласие на обработку подтверждают постановкой отметки в соответствующем поле. В любом случае, обе стороны анкетирования должны чётко понимать, что такое персональные данные работника, почему нельзя их свободно распространять. Например, электронные анкеты хранят на накопителе с закрытым от посторонних лиц доступом.

Что делать с данными, если кандидат не подошёл

При отказе в приёме на должность или при закрытии вакансии по другим причинам, персональные данные несостоявшихся работников следует удалять. Срок на исполнение этой обязанности установлен в 30 календарных дней. Если по истечении указанного периода информация осталась в базе данных работодателя, его могут привлечь к административной ответственности. Речь идет о сроках хранения законно полученных данных (из анкеты или резюме предоставленного соискателем).

В учреждениях с государственной гражданской службой срок хранения персональных данных кандидатов составляет 3 календарных года.

Тут к достоверности информации подходят более жёстко — за предоставление кандидатом искажённых предусмотрена ответственность согласно статье 19.7 КоАП РФ (штраф от 100 до 300 рублей).

Как направлять запросы на прежние места работы

Привычные вопросы о предыдущей трудовой деятельности также имеют отношение к сбору персональных данных сотрудников. Если текущий работодатель планирует запрашивать какие-либо сведения о сотруднике его бывшего работодателя, сначала нужно получить письменное согласие от сотрудника. При этом незаконно просить номера личных телефонов бывших коллег и руководителя.

Что делать с данными по уволенным работникам

Отдельно рассматриваются периоды хранения информации о людях, уволенных из организации. Их данные попали в бухгалтерский и налоговый учёт и в отчётность, и поэтому то, что касается налоговых начислений и платежей, должно храниться в течение 5 лет (подпункт 5 пункта 3 статьи 24 НК РФ).

А вот личные личные дела или личные карточки сотрудников необходимо передавать в архив для дальнейшего хранения в течение 50 лет (пункт 2 статьи 22.1 Федерального закона от 22.10.2004 №125-ФЗ).

Организации не обязательно выяснять, что входит в персональные данные работника, достаточно обеспечить сохранность кадровых документов и документов, ранее используемых при начислении, удержании и перечислении налогов.

Не тратьте время на задачи, которые не приносят прибыль!
Воспользуйтесь аутсорсингом бухгалтерии — мы возьмём на себя ответственность за ваш бухгалтерский и налоговый учёт.
Узнать подробнее
Аутсорсинг

Персональные данные при аутсорсинге кадровых и бухгалтерских услуг

Интересный момент возникает при заключении договора на обслуживание с аутсорсером. В законе нет прямого указания на действия с персональными данными при заключении договора обслуживания со сторонней организацией. Но есть Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 21.03.2022 №08-20152, в котором указывается на необходимость того, чтобы в согласии на обработку персональных данных указывалось наименование и адрес аутсорсинговой компании.

Всё потому что согласно части 4 статьи 9 Федерального закона №152-ФЗ любой работодатель обязан запрашивать согласие на обработку и указывать реквизиты оператора её осуществляющую.

Иногда в согласии прописывают перечень персональных данных работника, который он соглашается и далее передавать без дополнительных запросов.

Рекомендации по сбору и хранению персональных данных

Компании стоит уделить особое внимание организации мер по сбору, хранению и систематизации персональных данных. Это обеспечит защиту от претензий надзорных органов, исковых заявлений от действующих и бывших работников и кандидатов на вакансии.

Что нужно сделать в обязательном порядке:

  • разработать Положение о персональных данных, прописать в нём основные условия сбора, хранения и обработки;
  • издать приказ о вводе в действие Положения и ознакомить персонал под подпись;
  • назначить сотрудника, отвечающего за обработку персональных данных, подписать с ним соглашение о неразглашении;
  • собрать со всех работников согласия в письменном виде с перечислением типов персональных данных и целей их предоставления;
  • организовать хранение данных в цифровом и бумажном виде, защитить их от доступа третьих лиц, а также обеспечить своевременность пополнения и корректировки.

Рекомендуется обратиться с заявкой в Роскомнадзор на регистрацию компании в качестве оператора персональных данных. Это делать не обязательно, если обработка информации идёт вручную, включая документы сотрудников для внутреннего пользования.

Ответственность за распространение персональных данных

Законодательные нарушения в части хранения персональных данных караются административными штрафами и другими наказаниями вплоть до уголовного преследования. Назначаемые санкции зависят от характера и степени обнаруженных недочётов, наличия усугубляющих факторов (например, массового распространения содержимого анкет или электронных баз данных).

Нарушителям грозит:

  • штраф до 75 тысяч рублей — за сбор избыточных данных, обработку без согласия на это со стороны работника, предоставление доступа посторонним лицам;
  • штраф до 200 тысяч рублей или лишение свободы до 2 лет, запрет занимать определенные должности до 3 лет — за публикацию персональных данных в открытом доступе;
  • штраф до 300 тысяч рублей, лишение свободы до 5 лет, запрет на занятие должностей до 6 лет — если указанное выше нарушение было совершено с использованием служебного положения.

Санкции довольно суровые, поэтому чтобы не попасть под их действие, необходимо разработать Положение и организовать регламентированный сбор, хранение и передачу персональных данных на предприятии.

Подпишитесь на новостную рассылку

Заполните поля формы, чтобы получать новости законодательства, советы по снижению налогов и кейсы.

Спасибо! Подтвердите подписку на почте.