Даже при наличии общей организационно-распорядительной документации по персональным данным, кадровая обработка требует отдельного набора документов, адаптированных под трудовые отношения и требования Трудового кодекса РФ. Отсутствие специализированных документов по кадровым ПДн рассматривается Роскомнадзором как самостоятельное нарушение, независимо от наличия общей ОРД.
Почему кадровые данные — отдельная зона риска
Кадровые персональные данные относятся к числу наиболее чувствительных и проверяемых категорий, поскольку работодатель обрабатывает их обязательно и непрерывно на протяжении всего периода трудовых отношений. Работник не может отказаться от передачи значительной части своих персональных данных, что усиливает требования к их защите.
Кадровые ПДн включают:
-
паспортные и идентификационные данные;
-
сведения о трудовой деятельности и квалификации;
-
данные о доходах и удержаниях;
-
сведения о здоровье в пределах, предусмотренных законом;
-
данные членов семьи в установленных случаях.
Высокий объём, длительные сроки хранения и участие нескольких подразделений (кадры, бухгалтерия, руководство) делают кадровую обработку зоной повышенного риска.
Именно поэтому Роскомнадзор при проверках отдельно анализирует наличие специализированных документов по обработке персональных данных работников, а не ограничивается общей ОРД.
Является ли работодатель оператором персональных данных
Работодатель признаётся оператором персональных данных в силу самого факта возникновения трудовых отношений. Это прямо следует из положений 152-ФЗ и трудового законодательства: работодатель определяет цели, объём и способы обработки персональных данных работников.
Важно учитывать:
-
статус оператора возникает автоматически, без подачи заявлений или выбора;
-
обработка кадровых ПДн осуществляется независимо от формы бизнеса — ООО, ИП, самозанятый с наёмными работниками;
-
отсутствие коммерческой деятельности или малого штата не освобождает от обязанностей оператора.
Работодатель обрабатывает персональные данные работников на всех этапах трудовых отношений: при приёме на работу, в процессе работы и после увольнения (в пределах сроков хранения).
Это означает, что комплект документов по ПДн, в том числе для кадрового учёта, обязателен для любого работодателя, даже если иных категорий персональных данных он не обрабатывает.
Обязательные документы по ПДн для кадрового учета
При обработке персональных данных работников работодатель обязан иметь отдельный комплект документов, который дополняет общую ОРД и учитывает специфику трудовых отношений. Именно этот блок документов в первую очередь проверяется Роскомнадзором при контроле кадровых процессов.
К обязательным документам относятся:
-
приказы о назначении ответственных за обработку и защиту персональных данных работников;
-
положение об обработке и защите персональных данных работников;
-
регламент доступа к кадровым персональным данным;
-
перечень лиц, допущенных к обработке кадровых ПДн;
-
порядок хранения и уничтожения персональных данных работников;
-
документы внутреннего контроля соблюдения требований по кадровым ПДн.
Отсутствие хотя бы части этих документов либо их формальный характер рассматриваются Роскомнадзором как отсутствие надлежащей организации обработки персональных данных работников и квалифицируются как нарушение требований 152-ФЗ.
Документы по правовым основаниям обработки кадровых ПДн
При проверках Роскомнадзор отдельно анализирует, на каком правовом основании работодатель обрабатывает персональные данные работников. Ошибки именно в этой части встречаются чаще всего.
Необходимо учитывать следующие правила:
-
Согласие работника требуется не всегда.
Большая часть кадровых персональных данных обрабатывается без согласия, на основании Трудового кодекса РФ и иных нормативных актов (приём на работу, ведение личных дел, расчёт заработной платы, налоговый и воинский учет). -
Согласие обязательно, если:
-
обработка не связана напрямую с трудовыми обязанностями;
-
данные передаются третьим лицам вне требований закона;
-
используются дополнительные сервисы или нестандартные цели обработки.
-
В составе документов должны быть:
-
обоснование правовых оснований обработки кадровых ПДн;
-
формы согласий работников (только для допустимых случаев);
-
локальные акты, разграничивающие обработку с согласия и без согласия.
Формальное получение согласий «на всё подряд» либо отсутствие разграничения правовых оснований при проверках квалифицируется как нарушение требований 152-ФЗ и трудового законодательства одновременно.
Документы по ознакомлению работников
Работодатель обязан документально подтверждать, что работники проинформированы о правилах обработки их персональных данных.
В состав этого блока документов входят:
-
уведомление работников об обработке персональных данных;
-
листы или журналы ознакомления работников с локальными актами по ПДн;
-
подтверждение ознакомления при приёме на работу;
-
фиксация повторного ознакомления при изменении документов.
Само наличие локальных актов без подтверждения ознакомления считается формальным соблюдением требований.
Роскомнадзор при проверках сопоставляет даты утверждения документов и даты ознакомления работников. Отсутствие подтверждений ознакомления рассматривается как нарушение обязанности работодателя по информированию субъектов персональных данных.
Документы по доступу и разграничению прав
Кадровые персональные данные должны быть доступны строго ограниченному кругу лиц. Поэтому в составе документов по ПДн обязательно должны присутствовать регламенты разграничения доступа.
Как правило, оформляются:
-
перечень должностей и сотрудников, допущенных к кадровым ПДн;
-
порядок предоставления, изменения и отзыва доступа;
-
регламенты работы с бумажными и электронными кадровыми документами;
-
фиксация фактов доступа (журналы, отчёты, учетные записи).
Отсутствие документального разграничения доступа квалифицируется Роскомнадзором как отсутствие организационных мер защиты персональных данных работников.
Документы по ИСПДн кадровых данных
Если кадровые персональные данные обрабатываются с использованием информационных систем (1С, HRM, электронные архивы), это требует отдельного документального оформления.
В состав документов входят:
-
перечень используемых кадровых ИСПДн;
-
описание обрабатываемых в них персональных данных;
-
регламенты эксплуатации кадровых ИСПДн;
-
порядок разграничения доступа пользователей;
-
меры по обеспечению безопасности персональных данных;
-
ответственность за администрирование систем.
Отсутствие документов по кадровым ИСПДн рассматривается как существенное нарушение.
Проверяющие сопоставляют эти документы с фактически используемыми системами.
Типичные ошибки работодателей
При проверках чаще всего выявляются следующие ошибки:
-
отсутствие отдельного комплекта документов по кадровым ПДн;
-
использование «общей» ОРД без адаптации под трудовые отношения;
-
получение избыточных согласий работников;
-
отсутствие документов по разграничению доступа;
-
неоформленное использование кадровых ИСПДн;
-
отсутствие подтверждения ознакомления работников.
Такие ошибки квалифицируются как системные нарушения и нередко становятся основанием для предписаний.
Как выстроить корректную систему документов
Корректная система обработки кадровых персональных данных строится как отдельный блок внутри общей ОРД, с учётом требований трудового законодательства.
Практически это означает:
-
выделение кадровых ПДн в отдельный раздел ОРД;
-
разработку специализированных документов;
-
согласование кадровых документов с общей системой ПДн;
-
регулярную актуализацию документации.
Для корректной работы с кадровыми данными необходима интеграция специализированного кадрового блока в общую организационно-распорядительную документацию.
На практике
На практике Роскомнадзор практически всегда выявляет нарушения именно в кадровом блоке персональных данных. Это связано с высокой формализацией требований и постоянным характером обработки данных работников.
Отсутствие специализированных документов по кадровым ПДн рассматривается как самостоятельное нарушение, даже если иные категории персональных данных обрабатываются корректно. Именно поэтому кадровые персональные данные требуют отдельного и тщательно выстроенного комплекта документов.
