Работодатель в отношении таких данных выступает оператором персональных данных и несёт ответственность за законность их сбора, хранения, использования и защиты. На практике именно кадровые данные чаще всего становятся причиной нарушений 152-ФЗ, поскольку компании нередко ошибочно считают их «внутренней информацией», не подпадающей под требования законодательства.
Какие данные сотрудников относятся к персональным
К персональным данным относятся любые сведения, относящиеся прямо или косвенно к определённому или определяемому работнику. Для сотрудников это означает, что практически вся информация, связанная с их личностью и трудовой деятельностью, подпадает под режим персональных данных.
К таким данным относятся, в частности:
Идентификационные и контактные данные
-
фамилия, имя, отчество;
-
дата и место рождения;
-
адрес регистрации и проживания;
-
номера телефонов;
-
адрес электронной почты.
Документы и реквизиты
-
паспортные данные;
-
ИНН, СНИЛС;
-
сведения о гражданстве;
-
реквизиты документов об образовании.
Трудовые и профессиональные сведения
-
сведения о стаже работы;
-
квалификация и образование;
-
данные о должности и трудовой функции;
-
сведения о дисциплинарных взысканиях и поощрениях.
Финансовые данные
-
банковские реквизиты для выплаты заработной платы;
-
сведения о доходах;
-
данные о налоговых вычетах и удержаниях.
Биометрические и визуальные данные
-
фотографии работников;
-
видеозаписи с участием сотрудников;
-
данные систем контроля доступа (пропуска, турникеты).
Специальные категории данных (при наличии)
-
сведения о состоянии здоровья;
-
данные о инвалидности;
-
медицинские заключения (в пределах, допустимых трудовым законодательством).
Не имеет значения, хранятся ли эти данные в бумажном виде, в электронных системах или передаются сторонним организациям — в любом случае они рассматриваются как персональные данные и подлежат защите.
Когда данные сотрудников не считаются персональными
Хотя большинство сведений о работниках относятся к персональным данным, существуют ситуации, когда информация формально выводится из-под режима персональных данных. Однако на практике такие случаи встречаются значительно реже, чем принято считать.
Обезличенные данные
Данные перестают считаться персональными, если:
-
из них исключена возможность идентификации конкретного работника;
-
невозможно установить связь информации с конкретным физическим лицом без использования дополнительных сведений.
Пример:
отчёт, содержащий сведения о средней зарплате по отделу без указания фамилий и иных идентификаторов.
Если работодатель или третье лицо всё же может восстановить связь данных с конкретным сотрудником, такие данные продолжают считаться персональными.
Агрегированные статистические сведения
К не персональным могут относиться данные, представленные:
-
в виде статистики;
-
в обобщённом виде;
-
без указания индивидуальных характеристик работников.
Например:
«В компании работает 120 сотрудников, из них 60% — мужчины».
Данные, не позволяющие идентифицировать работника
Если информация не позволяет определить конкретное лицо, даже косвенно, она не подпадает под режим персональных данных.
Однако здесь следует быть особенно осторожными:
даже сочетание нескольких «нейтральных» показателей (например, должность + уникальный стаж + редкая квалификация) может привести к идентификации конкретного сотрудника.
Почему это скорее исключение, чем правило
На практике подавляющее большинство сведений о работниках:
-
хранятся в кадровых документах;
-
используются для расчётов, управления персоналом, взаимодействия с государственными органами;
-
позволяют однозначно идентифицировать работника.
А значит, подпадают под требования 152-ФЗ.
Особенности обработки персональных данных работников
Обработка персональных данных сотрудников имеет ряд особенностей, связанных с тем, что она регулируется не только 152-ФЗ, но и трудовым законодательством. Это создаёт для работодателя дополнительные обязанности и ограничения.
Связь 152-ФЗ и Трудового кодекса
Данные работников обрабатываются в рамках трудовых отношений, поэтому применяются одновременно:
-
требования закона о персональных данных;
-
нормы Трудового кодекса РФ.
Это означает, что работодатель обязан не просто защищать данные, но и использовать их строго в пределах трудовых целей, установленных законом.
Цели обработки данных сотрудников
Персональные данные работников могут обрабатываться только для целей, связанных с:
-
заключением и исполнением трудового договора;
-
начислением заработной платы и иных выплат;
-
ведением кадрового и бухгалтерского учета;
-
исполнением требований налогового, пенсионного и иного законодательства;
-
обеспечением условий труда и безопасности.
Использование данных сотрудников для иных целей (маркетинг, публикации, передача третьим лицам без оснований) является нарушением.
Ограничения по использованию данных
Работодатель не вправе:
-
собирать избыточные данные, не связанные с трудовыми функциями;
-
использовать данные вне заявленных целей;
-
распространять данные без правовых оснований.
Например, запрос информации о семейном положении или здоровье допустим только в строго установленных законом случаях.
Сроки хранения персональных данных работников
Данные работников должны храниться:
-
не дольше, чем это необходимо для достижения целей обработки;
-
с учётом требований архивного и бухгалтерского законодательства.
По истечении установленных сроков данные подлежат уничтожению или обезличиванию.
Передача данных третьим лицам
Передача персональных данных работников допускается только при наличии законных оснований, например:
-
в налоговые органы;
-
в Пенсионный фонд и фонды социального страхования;
-
в банки (для выплаты зарплаты);
-
в аутсорсинговые компании (бухгалтерия, кадровый учет) — при наличии договоров и условий обработки ПДн.
Передача данных даже в «обязательные» органы требует соблюдения принципов минимизации и документального оформления.
Нужно ли согласие сотрудника на обработку его данных
Распространённое заблуждение — считать, что работодатель всегда обязан получать согласие работника на обработку его персональных данных. На практике согласие требуется далеко не во всех случаях.
Когда согласие не требуется
Согласие работника не нужно, если персональные данные обрабатываются:
-
для исполнения трудового договора;
-
для выполнения обязанностей работодателя, предусмотренных законом;
-
для ведения кадрового, бухгалтерского и налогового учета;
-
для исполнения требований государственных органов;
-
в рамках обязательного социального страхования.
Во всех этих случаях правовым основанием обработки является не согласие, а закон и трудовой договор.
Когда согласие обязательно
Согласие сотрудника требуется, если персональные данные используются:
-
не в рамках трудовых обязанностей;
-
для целей, не предусмотренных трудовым законодательством;
-
для размещения информации о работнике на сайте или в рекламных материалах;
-
для передачи данных третьим лицам, не предусмотренной законом;
-
для обработки биометрических данных (например, отпечатков пальцев, если они не обязательны по закону).
Типовые ошибки при оформлении согласий
На практике работодатели часто допускают ошибки, в том числе:
-
получают согласие «на всё», что не соответствует принципу целевой обработки;
-
используют согласие там, где оно не требуется, подменяя им законные основания;
-
не разграничивают согласие на трудовые и нетрудовые цели;
-
не фиксируют срок и цели обработки в тексте согласия.
Неправильно оформленное согласие не только не защищает работодателя, но и само по себе может быть признано нарушением.
Какие документы по ПДн обязательны для кадрового учета
Обработка персональных данных работников требует наличия не только общих документов по 152-ФЗ, но и специальных локальных актов, ориентированных именно на кадровые процессы. Отсутствие или формальность этих документов — одна из самых частых причин штрафов.
Локальные акты по обработке ПДн работников
В организации должны быть утверждены документы, которые регламентируют:
-
цели и основания обработки данных работников;
-
перечень обрабатываемых данных;
-
порядок их получения, хранения, передачи и уничтожения;
-
меры по защите персональных данных.
Эти документы должны быть адаптированы под реальные кадровые процессы, а не представлять собой шаблонные тексты.
Приказы о назначении ответственных лиц
Работодатель обязан:
-
назначить ответственного за организацию обработки персональных данных;
-
при необходимости — ответственного за обеспечение безопасности ПДн;
-
зафиксировать зоны ответственности и полномочия.
Отсутствие таких приказов трактуется как отсутствие системы управления обработкой данных.
Политика обработки персональных данных
Политика должна отражать не только обработку данных клиентов или пользователей сайта, но и:
-
обработку данных работников;
-
категории кадровых персональных данных;
-
особенности их защиты и передачи.
При проверках Роскомнадзор сопоставляет положения политики с реальными кадровыми процессами.
Согласия работников (при необходимости)
Согласия оформляются только в тех случаях, когда они действительно требуются (например, для публикации фото сотрудника на сайте или передачи данных не по закону). Они должны быть:
-
конкретными по целям;
-
ограниченными по сроку;
-
согласованными с политикой и локальными актами.
Документы по доступу и защите данных
Дополнительно должны быть оформлены:
-
перечни лиц, допущенных к обработке данных работников;
-
обязательства о неразглашении;
-
регламенты доступа к кадровым системам;
-
инструкции по защите информации.
Для выстраивания полного и корректного комплекта разрабатывается организационно-распорядительная документация по защите персональных данных.
Как избежать штрафов при обработке данных работников
Избежать ответственности за нарушения в работе с персональными данными сотрудников возможно только при системной организации кадровых процессов и документации, а не за счёт формального выполнения отдельных требований.
Провести аудит кадровых процессов
Необходимо определить:
-
какие персональные данные работников реально обрабатываются;
-
в каких процессах и на каких основаниях;
-
кто имеет доступ к данным и в каком объёме;
-
какие данные передаются третьим лицам.
Без такого анализа невозможно выстроить корректную систему обработки ПДн работников.
Корректно оформить документы
Документы должны:
-
соответствовать реальным кадровым процессам;
-
учитывать специфику деятельности организации;
-
быть актуальными и согласованными между собой;
-
применяться на практике, а не существовать только «для проверки».
Обучить сотрудников и распределить доступы
Важно:
-
ограничить круг лиц, имеющих доступ к данным работников;
-
обучить кадровый и управленческий персонал правилам работы с ПДн;
-
зафиксировать ответственность за нарушения.
Контролировать хранение и уничтожение данных
Необходимо обеспечить:
-
соблюдение сроков хранения документов;
-
защищённое хранение бумажных и электронных архивов;
-
корректное уничтожение данных по истечении сроков.
Учитывать цифровые и онлайн-процессы
Если используются:
-
личные кабинеты сотрудников,
-
кадровые порталы,
-
внутренние сайты и облачные сервисы,
их также необходимо проверять на соответствие требованиям законодательства. Для этого проводят аудит сайта на соблюдение законодательства по защите информации.
На практике
На практике именно кадровые персональные данные чаще всего становятся причиной штрафов, поскольку:
-
обрабатываются постоянно;
-
задействуют множество сотрудников;
-
передаются третьим лицам;
-
редко сопровождаются выстроенной системой защиты.
Даже компании без сайта и без клиентов могут быть привлечены к ответственности исключительно за нарушения в работе с персональными данными работников.
В то же время выстроенная система обработки данных сотрудников — с рабочими документами, контролем доступа и соблюдением целей обработки — практически полностью снимает основные риски при проверках Роскомнадзора.
