В организации персональные данные сотрудников содержатся в личных карточках и личных делах, если они ведутся.
Получение персональных данных
Все персональные данные сотрудника вы можете получить только от него самого. Если персональные сведения возможно получить только от третьих лиц (например, от его прежнего работодателя), то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ и подтверждается разъяснениями Роскомнадзора от 14 декабря 2012 г.
Пример получения персональных данных сотрудника от прежнего работодателя
Сотрудница организации Е.В. Иванова устроилась в организацию «Альфа» в феврале 2015 года. В этом же году она ушла в декретный отпуск. В 2016 году сотрудница уходит в отпуск по уходу за ребенком. В связи с тем, что в 2015 году сотрудница была в декретном отпуске, для расчета пособия по уходу за ребенком до 1,5 лет Иванова попросила заменить 2015 год расчетного периода на 2012 год, который она полностью отработала у другого работодателя. Поскольку от предыдущего работодателя Иванова уволилась в январе 2015 года, при увольнении ей выдали справку о сумме заработка за 2014 и 2013 годы (п. 3 ч. 2 ст. 4.1 Закона от 29 декабря 2006 г. № 255-ФЗ).
Соответственно, информацией о заработке сотрудницы в 2012 году новый работодатель («Альфа») не располагает.
«Альфа» запросила необходимую информацию у предыдущего работодателя, предварительно уведомив Иванову и получив на это ее письменное согласие.
Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника (например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п.). Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ.
Получив персональные данные, работодатель не вправе распространять и раскрывать их третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).
Согласие сотрудника на обработку персональных данных
После получения персональных данных сотрудника у работодателя возникает необходимость их обработки.
По общему правилу обработку таких данных можно проводить только с письменного согласия сотрудников. В согласии должна быть указана информация об объеме обрабатываемых данных, целях, способах обработки, сведения о том, кто обрабатывает данные, срок, в течение которого действует согласие сотрудника, и его подпись (ч. 4 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).
Случаи обработки данных без согласия сотрудника
В отдельных случаях обрабатывать персональные данные сотрудника можно без его согласия. Например, в случаях, прямо предусмотренных коллективным договором, а также локальными актами организации (разъяснения Роскомнадзора от 14 декабря 2012 г.).
Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:
- Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
- налоговую инспекцию (ст. 24 НК РФ);
- ФФОМС, ФСС России (ст. 15 Закона от 24 июля 2009 г. № 212-ФЗ);
- военные комиссариаты (ст. 4 Закона от 28 марта 1998 г. № 53-ФЗ);
- иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).
Также не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета, а также данных, переданные в архивную организацию.
Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.
Кроме того, не требуйте согласия сотрудника для передачи персональных данных банку при открытии и обслуживании платежной карты для начисления зарплаты:
- если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;
- если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
- если соответствующая форма и система оплаты труда прописана в коллективном договоре организации.
Об этом сказано в абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.
Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.
Защита персональных данных
Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в Положении о работе с персональными данными сотрудников (ст. 87 ТК РФ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации (п. 8 ч. 1 ст. 86 ТК РФ).
Ситуация: как защитить персональные сведения, находящиеся в компьютерной базе данных?
Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.
Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8−16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.
Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.
Можно ли размещать данные на корпоративном сайте
Ситуация: можно ли разместить персональные данные своих сотрудников на корпоративном сайте?
Нет, нельзя.
Персональные данные сотрудника – это информация, необходимая организации и относящаяся к определенному физическому лицу (конкретному сотруднику). Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д. Об этом сказано в пункте 1 статьи 3 Закона от 27 июля 2006 г. № 152-ФЗ.
Размещение персональных данных на корпоративном сайте организации является распространением информации, которое возможно только с письменного согласия сотрудника (ст. 88 ТК РФ).
Совет: условия о размещении персональных данных сотрудников на корпоративном сайте пропишите в Положении о работе с персональными данными. К нему составьте приложение, в котором укажите список сотрудников, согласных (или несогласных) на размещение персональных данных. Таким образом, требование статьи 88 будет выполнено, и организация сможет разместить персональные данные сотрудников, согласных с таким размещением, на корпоративном сайте.
В целях обеспечения прав своих сотрудников организация и ее представители при обработке персональных данных обязаны соблюдать требования, регламентируемые статьей 86 Трудового кодекса РФ. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к административной и уголовной ответственности (ст. 90 ТК РФ). Или могут быть уволены с формулировкой «за разглашение персональных данных другого сотрудника на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса РФ».
Условие о неразглашении
Ситуация: можно ли в трудовых договорах сотрудников предусмотреть условие о неразглашении конфиденциальной информации?
Да, можно.
Но только в отношении тех сотрудников, которые непосредственно работают с персональными данными: кадровиков, менеджеров по персоналу, секретарей (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте сотрудника с Положением о работе с персональными данными.
Ответственность за разглашение
За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ).
К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (ст. 192 ТК РФ). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ).
За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:
- для руководителя и главного бухгалтера – от 500 до 1000 руб.;
- для организации – от 5000 до 10 000 руб.
Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.
Такие меры ответственности предусмотрены статьями 13.11 и 13.14 Кодекса РФ об административных правонарушениях.
Уголовная ответственность для руководителя или главного бухгалтера организации может наступить за незаконное:
- собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
- распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
В этом случае может наступить один из следующих видов ответственности:
- штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
- обязательные работы на срок до 360 часов;
- исправительные работы на срок до одного года;
- принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
- лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет;
- арест на срок до четырех месяцев.
При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:
- штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
- лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
- принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового. Данный вид уголовной ответственности будет применяться с 1 января 2014 года (ч. 3 ст. 8 Закона от 7 декабря 2011 г. № 420-ФЗ);
- лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет;
- арестом на срок до шести месяцев.
Такая ответственность предусмотрена в статье 137 Уголовного кодекса РФ.