Кадровый документооборот. Обработка персональных данных работников

Уважаемые коллеги!

Прошлый век, а особенно его последние десятилетия охарактеризовались значительными изменениями в области хранения и передачи данных. Развитие электронных систем коммуникации приводит к сокращению личного пространства человека. Если ранее огромное количество реестров, учетных карточек, справочников, содержащих информацию о конкретном гражданине, имели ограниченный доступ, то сейчас электронные способы обработки данных делают персональные данные доступными практически неограниченному кругу лиц. В результате этого защита персональных данных приобретает первостепенное значение. Всё это приводит к необходимости регламентировать обработку персональных данных и в области трудовых правоотношений.

Нормативное регулирование

Необходимость регламентации процесса сбора, хранения и обработки персональных данных привела к принятию целого ряда нормативных актов. На сегодня важнейшим из них является федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных". В 2001 году, с принятием Трудового кодекса РФ, правила обработки персональных данных пришли и в трудовое законодательство. В Трудовом кодексе РФ этому вопросу отведена целая глава (глава 14, статьи 85–90 Трудового кодекса РФ). Тогда же и появилась обязанность работодателя иметь документ, определяющий порядок обработки и хранения персональных данных работников.

Обратите внимание! Ранее вопрос обработки персональных данных работника трудовым законодательством подробно регламентирован не был. Необходимость разрабатывать отдельный документ для этих целей отсутствовала.

Содержание документа

В настоящее время на работодателя возлагается необходимость разработать и утвердить локальный нормативный акт, регламентирующий порядок обработки персональных данных работников.

В соответствии со ст. 87 Трудового кодекса РФ, «порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов». Работодатель, в соответствии со ст. 372 Трудового кодекса РФ, при принятии локального нормативного акта, регламентирующего порядок обработки персональных данных работников (далее – Положение…), обязан учитывать мнение выборного органа первичной профсоюзной организации (при его наличии).

В отличие от Правил внутреннего трудового распорядка (см. мой ранний комментарий >>>>>), официально утверждённого и обязательного для всех организаций, образца Положения нет. Каждая организация разрабатывает этот локальный нормативный акт самостоятельно. Отдельные ведомства имеют примерные и рекомендованные для применения в подчиненных организациях документы. Примерную форму Положения об обработке персональных данных в организации можно найти и на сайте Роскомнадзора.

Наличие большого количества образцов Положения упрощает нашу задачу, но, в любом случае, целесообразно придерживаться следующей структуры документа:

• Общие положения.
• Основные понятия и состав персональных данных работников.
• Сбор, обработка и защита персональных данных работников.
• Передача и хранение персональных данных работников.
• Доступ к персональным данным работников.
• Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

При разработке Положения следует обязательно продумать вопрос объема получаемой отдельными специалистами информации. Например, целесообразно иметь следующий раздел:

«Право доступа к персональным данным работников имеют:

• генеральный директор Организации;
• сотрудники отдела кадров;
• сотрудники бухгалтерии;
• сотрудники секретариата (информация о фактическом месте проживания и контактные телефоны работников);
• руководители структурных подразделений (доступ к персональным данным только работников своего подразделения)».

Это особенно важно, когда предприятие имеет сложную и многоуровневую структуру.

При обработке персональных данных работодатель должен соблюдать основные требования законодательства:

• запрещается обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законом;
• если работодателю необходимо получить персональные данные работника у третьих лиц, то работник должен быть уведомлен об этом заранее и у него должно быть получено письменное согласие;
• передача каких-либо персональных данных третьим лицам возможна только с письменного согласия работника.

В Положении следует отразить права работника. В соответствии со ст. 89 Трудового кодекса РФ, «работники имеют право на:

• полную информацию об их персональных данных и обработке этих данных;
• свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника…;
• определение своих представителей для защиты своих персональных данных;
• доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
• требование об исключении или исправлении неверных или неполных персональных данных… Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
• требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий… работодателя…».

После того как Положение разработано, оно должны быть утверждено работодателем посредством издания приказа, распоряжения и т.п. руководителя организации. В соответствии с п. 8 ст. 86 Трудового кодекса РФ, «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области».

Таким образом, работодатель обязан:

• Ознакомить работника с действующим локальным нормативным актом, регламентирующим порядок обработки персональных данных работника. Факт ознакомления подтверждается подписью работника на листе ознакомления, прилагаемом к документу. Целесообразно, также делать соответствующую отметку на трудовом договоре.

• Работодатель обязан получить письменное согласие работника на обработку его персональных данных. Этот документ впоследствии хранится у работодателя. В форме трудового договора утверждённой для применения микропредприятиями, также проставляется отметка о согласии работника на обработку работодателем его персональных данных (см. постановление Правительства РФ от 27.08.2016 N 858 (ред. от 10.07.2020) "О типовой форме трудового договора, заключаемого между работником и работодателем – субъектом малого предпринимательства, который относится к микропредприятиям").

• В отдельных случаях, при получении или передаче сторонним организациям персональных данных работников целесообразно оформлять отдельное письменное согласие работника с его последующим хранением у работодателя.

Ответственность за ненадлежащее хранение и обработку персональных данных

Трудовое законодательство предполагает ответственность лиц виновных в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника (см. ст. 90 Трудового кодекса РФ).

Таким образом, если работник выполняющий обработку персональных данных допустил их разглашение или иные неправомерные действия, он может быть привлечён к дисциплинарной ответственности с применением дисциплинарного взыскания вплоть до увольнения по пп. в п. 6 ч. 1 ст. 81 Трудового кодекса РФ (в связи с разглашением «охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника»); полной материальной ответственности в соответствии с п. 7 ч. 1 ст. 243 Трудового кодекса РФ (в связи с разглашением «сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), в случаях, предусмотренных настоящим Кодексом, другими федеральными законами»).

Кроме ответственности в соответствии с трудовым законодательством виновные могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Следует помнить, что надзорные органы исследуют вопрос соблюдения работодателем законодательства обработки персональных данных работников, а это предполагает возможность наложения санкций непосредственно и на компанию.

Сроки хранения

В соответствии с приказом Росархива от 20.12.2019 № 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", документы (положения, инструкции) об обработке персональных данных хранятся в организации (по месту утверждения) – постоянно; в других организациях (после замены новыми) – 3 года (п. 440 Перечня…); согласие работника на обработку персональных данных – 3 года, после истечения срока действия согласия или его отзыва, если иное не предусмотрено федеральным законом, договором (п. 441 Перечня…). О сроках хранения кадровых документов см. мою публикацию на этом сайте «О новых сроках хранения документов (кадровая документация)» >>>>>.

Заключение

Завершая рассмотрение этого вопроса, в очередной раз обращаю внимание работодателей на необходимость квалифицированного подхода к разработке локальных нормативных актов действующих на предприятии. Все это позволит избежать вам разочарований при общении с надзорными органами и конфликтов с отдельными работниками.

При организации и ведении кадровой документации обращайтесь к специалисту!