РКН начинает проверку работодателей по защите персональных данных. Как подготовиться

Уже готов и вступил в силу регламент таких ревизий. Разбираем типичные нарушения, которые могут быть выявлены Роскомнадзором.
РКН начинает проверку работодателей по защите персональных данных. Как подготовиться

С этого года все работодатели должны быть готовы к проверкам соблюдения ими правил обработки персональных данных. Такие проверки будет проводить Роскомнадзор. Уже готов и вступил в силу регламент данных ревизий. В связи с этим предлагаем ознакомиться с типичными нарушениями, которые могут быть выявлены при подобных проверках, с тем, чтобы не допустить их у себя.

Регламент проведения проверок обращения с персданными

Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.

Объект проверки

Проверять будут юрлиц и ИП, являющихся операторами персданных.

Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.

Виды проверок

Ревизии могут проходить в виде:

  1. плановых проверок – выездных и документарных;
  2. внеплановых проверок – выездных;
  3. мероприятий без взаимодействия инспекторов с операторами.

Плановые проверки

Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

Внеплановые проверки

Проводятся на основании:

  •  обращений граждан;
  •  по требованию прокурора;
  •  в случае неисполнения оператором предписания.

Уведомление компании

Роскомнадзор должен уведомить фирму:

  •  о проведении плановой проверки – не позднее чем за 3 рабочих дня:
  •  о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

  • заказным письмом с уведомлением о вручении;
  • электронным документом с усиленной квалифицированной электронной подписью на электронную почту.

Что будут проверять

Инспекторы проверят:

  • документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
  • обработку персданных на предмет ее соответствия установленным требованиям;
  • информационные системы персданных.

Мероприятия без взаимодействия с компанией

Такие мероприятия проводятся на основании заданий на их проведение, утверждаемых руководителем органа Роскомнадзора.

К данным мероприятиям относится контроль за соблюдением компанией требований при размещении информации в сети Интернет и СМИ, а также в федеральных государственных информационных системах.

Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»

Примечание редакции:

По итогам таких проверок могут накладываться штрафы по ст. 13.11 КоАП РФ: санкции на юрлиц – от 30 до 75 тыс. рублей. 

Что работодатель должен и не должен знать о работнике

В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.

Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.

Что у компании должно быть

Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

  •  Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
  •  трудовой стаж и предыдущие места работы (из трудовой книжки);
  •  регистрация в органах ПФР (из карточки СНИЛС);
  •  отношение работника к воинскому учету (из документов воинского учета);
  •  образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
  •  судимость (из справки о ее наличии или отсутствии);
  •  употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).

Чего быть не должно

Требовать от работника другие документы кодекс запрещает, поэтому иных персональных данных сотрудника у организации быть не должно – например, свидетельств о рождении и браке (по крайней мере, при приеме на работу они не требуются).

Также компания не вправе настаивать на том, чтобы сотрудник при заполнении личной карточки (форма утверждена Постановлением Госкомстата РФ от 05.01.2004 № 1 и, кстати, уже давно необязательна), указывал в ней сведения о составе своей семьи, местах рождения и работы своих родственников, номера их телефонов и так далее.

Исключение сделало только для иностранцев и госслужащих. Для них дополнительные документы для трудоустройства определены отдельными федеральными законами.

Кроме того, фирма не должна хранить копии документов, перечисленных в ст. 65 ТК РФ. В кодексе сказано, что оригиналы предоставляются работодателю лишь при заключении трудового договора. Это значит, что после занесения сведений в договор оригинал возвращается, а снимать копии и хранить их кодекс не разрешает.

Статья Проказина Е.А., редактора-эксперта журнала «Время Бухгалтера»

Положение о порядке обработки персональных данных необходимо

Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.

Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.

Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.

Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Поэтому у государственного инспектора труда имелись основания для выдачи предписания.

Апелляционное Определение Московского городского суда от 06.05.2014 № 33-15735/14

Копии паспортов, военных билетов и свидетельств о рождении хранить нельзя

Роскомнадзор по итогам проверки банка выдал ему предписание устранить нарушения при работе с персональными данными сотрудников. А именно – не хранить в личных делах копии:

  •  паспортов;
  •  военных билетов;
  •  свидетельств о рождении детей;
  •  свидетельств о браке.

Банк обосновал необходимость копий тем, что они нужны ему во исполнение требований действующего законодательства по обеспечению актуализации сведений кадрового и воинского учета.

Кроме того, один из работников представил суду объяснения, что он осознанно и добровольно передал банку на хранение копии паспорта, военного билета, свидетельств о браке и о рождении ребенка.

Однако суд оставил предписание в силе.

Для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом паспорта, в котором содержатся все необходимые сведения.

Хранение копий указанных документов превышает объем обрабатываемых персональных данных работника, действующим законодательством не предусмотрено, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника и противоречит федеральному законодательству.

Более того, у банка отсутствуют законные основания для обработки специальной категории персданных – национальности сотрудников, которая указана в свидетельствах о рождении и браке.

Что касается доводов банка, то хранение и дальнейшее использование копий паспортов и военных билетов, полученных от сотрудников банка при трудоустройстве, не только не обеспечивает точность и актуальность персональных данных, а напротив, может привести к использованию недостоверных сведений. Используя в качестве источников информации такие копии документов, банк не учитывает реальное состояние указанных в них сведений, что свидетельствует о признаках нарушения ст. 5 закона № 152-ФЗ.

Постановление ФАС Северо-Кавказского округа от 21.04.2014 № А53-13327/2013

Примечание редакции:

Другая компания пошла еще дальше – не только хранила копии трудовых книжек, но и выдавала их сотрудникам за плату. В правилах внутреннего трудового распорядка было прямо прописано, что работник вправе получить заверенную копию трудовой книжки. Только один экземпляр – бесплатно, а второй и последующие – за установленную плату.

Трудовая инспекция оштрафовала фирму за это.

Та оспорила штраф, ссылаясь на то, что нарушение если и есть, то малозначительное, ведь плата была невысока и не причинила сотрудника большого ущерба.

Суд решил, что размер платы значения не имеет. Компания в принципе не имела права вводить платную выдачу копий трудовых книжек, что противоречит трудовому законодательству (Постановление Московского городского суда от 29.08.2011 № 4а-1743/11).

Вместе с тем Роструд считает, что с письменного согласия сотрудников компания вправе хранить копии их документов («Доклад с руководством по соблюдению обязательных требований, дающих разъяснение, какое поведение является правомерным, а также разъяснение новых требований нормативных правовых актов за 2 квартал 2017 г.»).

Аналогично можно хранить у себя анкеты соискателей, если от них получено согласие (Апелляционные определения Московского городского суда от 12.02.2019 № 33-5265/2019, от 28.09.2016 № 33-38280/2016). 

Фотографии работников без отдельного согласия использовать запрещено

Роскомнадзор по итогам плановой проверки выписал организации (бассейну) предписание с требованием прекратить использование на пропусках клиентов их фотографий.

Нарушение заключалось в том, что бассейн не заручился отдельными письменными согласиями пловцов на обработку их биометрических персональных данных в виде фотоизображений (ст. 11 закона № 152-ФЗ).

Организация возразила:

  1. посетители бассейна давали общее согласие на обработку их персданных;
  2. фотографии к своим пропускам люди прикрепляли добровольно;
  3. пока они плавали, предприятие не занималось цифровой или текстовой обработкой этих фотографий;
  4. закон не относит фотографическое изображение гражданина на бумажном носителе к биометрическим персональным данным, в связи с чем бассейн может использовать фото посетителей и с их устного согласия.

Судьи с этим не согласились.

В соответствии со ст. 11 закона № 152-ФЗ биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Истолковав данное Определение, суд пришел к выводу, что фотографическое изображение, содержащиеся на документе «Пропуск», является биометрическими персональными данными, поскольку характеризует физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска.

На основании ст. 11 закона о персданных для обработки фотографии необходимо получить отдельное письменное согласие человека, который на ней изображен. Данная статья является специальной по отношению к общей ст. 9 того же закона, на основании которой люди давали общее согласие.

Под обработкой же персданных понимается любое действие с ними.

Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101

Примечание редакции:

Аналогичная позиция у Роскомнадзора (разъяснения от 02.09.2013).

Важно, что это касается не только клиентов организации, но и ее работников, то есть использовать фото сотрудников на пропуске без их специального на то согласия работодатель не вправе.

То же касается и фотографий, прикрепленных к личным карточкам работников (форма № Т-2). Несколько попыток доказать обратное не увенчались успехом (постановления ФАС Северо-Кавказского округа от 11.03.2014 № А53-10287/2013, Пятнадцатого ААС от 14.03.2014 № 15АП-22502/2013).

Использовать фото сторонних людей на сайте компании и вовсе рискованное занятие. Изображенный на нем гражданин, не дававший на это своего согласия, вправе подать в суд на компанию и потребовать возмещения морального вреда. Например, некто потребовал с организации за это 200 тыс. рублей, суд присудил в его пользу 50 тыс. рублей (Апелляционное Определение Санкт-Петербургского городского суда от 15.11.2016 № 33-22976/2016). 

Данные клиентов из Интернета можно использовать без уведомления Роскомнадзора

Роскомнадзор провел проверку в компании, выявил несколько нарушений при работе с персданными и выдал предписание об устранении нарушений.
Компания оспорила это предписание и выиграла суд по всем пунктам.
Почему – читайте в таблице.

ТАБЛИЦА: «Пять законных способов работы с персданными»

Действия компании по работе с персональными данными Позиция Роскомнадзора Позиция компании и судов

При оформлении заказа на сайте интернет-магазина клиенты указывают свои персданные, необходимые для доставки заказа.

Данные сведения компания обрабатывает в информационной системе «1С:Предприятия (Магазины)»

Компания обязана уведомлять Роскомнадзор об обработке

персональных данных такими способами, поскольку она проводится с использованием информационных систем. Поэтому не подпадает под исключения, предусмотренные ч. 2

ст. 22 закона о персональных данных

Частью 2 ст. 22 закона о персданных № 152-ФЗ прямо предусмотрен перечень из 9 случаев, когда фирма освобождается от обязанности представлять в Роскомнадзор уведомление об обработке персданных.

Одним из таких случаев (п. 2) является обработка личных данных, полученных оператором в связи с заключением договора, стороной которого является субъект этих данных, если они не распространяются и не предоставляются третьим лицам без согласия субъекта и используются только оператором.

Способ, которым обрабатываются персданные, – без использования средств автоматизации или с использованием информационных систем – не имеет правового значения.

Поэтому в силу п. 1 ч. 2 ст. 22 закона № 152-ФЗ о персданных уведомлять Роскомнадзор в данном случае не требуется

Используется система «1С:Зарплата и управление персоналом 8»

 

 

Указанные системы используются компанией в рамках трудовых договоров, заключенных с работниками.

При этом абз. 17 ст. 22 ТК РФ закреплена обязанность работодателя выплачивать работникам зарплату в полном размере и в установленные сроки.

Статья 91 ТК РФ обязывает работодателя вести учет времени, отработанного каждым сотрудником.

Таким образом, использование указанных систем подпадает под исключение, предусмотренное п. 1 ч. 2 ст. 22 закона о персональных данных, то есть обработка таких данных осуществляется в соответствии с трудовым законодательством

Используется система БСУВ «Биометрическая система учета времени»

 

В ходе подбора персонала компания размещает вакансии на сайтах в сети Интернет, а полученные резюме в электронном виде хранит на рабочих компьютерах в отделе подбора персонала

Компания обязана уведомлять Роскомнадзор об обработке

персданных таким способом, так как работа по подбору персонала не регулируется трудовым законодательством.

В связи с этим обработка личных данных не подпадает под исключения ч. 2 ст. 22 закона о персданных

Трудовые и иные непосредственно связанные с ними отношения регулируются не только кодексом, но и другими нормативными актами (ст. 5 ТК РФ).

Правоотношения между кандидатом и будущим работником регулируются законом о занятости населения.

Из него следует, что работодатели должны содействовать проведению госполитики занятости населения, оказывая помощь в трудоустройстве. При этом они вправе принимать на работу граждан, непосредственно обратившихся к ним, на равных основаниях с теми, кто имеет направление органов службы занятости (ч. 1, ч. 3.1 ст. 25, ч. 1 ст. 26).

Таким образом, работодатель вправе обрабатывать персданные кандидатов на вакансии и сохранять их резюме, как в бумажном, так и в электронном виде, формируя базу соискателей при наличии письменного согласия кандидатов

Персональные данные из социальных сетей просто так брать нельзя

Организация собирала персональные данные банковских клиентов-физлиц, содержащиеся в социальных сетях «ВКонтакте», «Одноклассниках», «МойМир», Instragram, Twitter, а также на интернет-порталах «Авито» и «Авто.ру».

По мнению компании, она вправе обрабатывать эти данные без согласия физлиц, поскольку они содержатся в открытых источниках, а значит, являются общедоступными.

Роскомнадзор решил, что компания ошибается, и суд с ним согласился.

В соответствии с ч. 1 ст. 8 закона о персональных данных в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В такие источники с письменного согласия субъекта персданных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные личные данные, сообщаемые их носителем.

Исходя из этих положений закона, размещение персональных данных в социальных сетях автоматически не делает их общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта.

Таким образом, в нарушение п. 1 ч. 1 ст. 6 и ч. 3 ст. 22 закона о персданных компания обрабатывала их, не получив у граждан согласия.

Определение Верховного Суда РФ от 29.01.2018 № 305-КГ17-21291

Компания вправе по запросу адвоката выдать копию трудовой книжки супругу

Бывшая сотрудница подала иск к своему бывшему работодателю, потребовав признать незаконными его действия по передаче копии ее трудовой книжки адвокату ее бывшего мужа.

Адвокат использовал этот документ в качестве доказательства в процессе о взыскании алиментов.

Истица своего согласия на передачу копий трудовой книжки третьим лицам не давала.

Таким образом, компания нарушила ст. 3 закона о персональных данных и ст. 87, 88 Трудового кодекса РФ, не обеспечив сохранность ее персданных и неправомерно передав их без согласия и судебного запроса неуполномоченному лицу.

Однако суд решил, что адвокат является именно уполномоченным лицом.

Запрос был сделан на основании п. 1 ч. 3 ст. 6 Закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». Данная норма дает право собирать адвокату сведения, необходимые для оказания юрпомощи, в том числе запрашивать справки, характеристики и иные документы не только у госорганов, но и организаций. Они обязаны выдать адвокату запрошенные им документы или их заверенные копии в месячный срок со дня получения запроса адвоката.

Кроме того, в запросе адвокат указал, что сведения о трудовой деятельности ему необходимы для предъявления в суд в качестве доказательств по гражданскому делу, рассматриваемому в закрытом судебном заседании, и гарантировал соблюдение режима конфиденциальности представленных сведений.

Компания, в свою очередь, направляя копию трудовой книжки, указала в сопроводительном письме, что использовать полученные персональные данные работника он может исключительно для целей, указанных в его запросе, с соблюдением режима секретности (конфиденциальности).

Таким образом, нормы права не были нарушены.

В соответствии с п. 2 и 3 ч. 1 ст. 6 закона о персональных данных обработка персданных истца осуществлялась в целях обеспечения права на представление доказательств по гражданскому делу.

Апелляционное Определение Московского городского суда от 24.12.2014 № 33-41576/2014

Компания вправе узнавать в поликлинике, чем болеет сотрудник

Гражданин обратился в Конституционный Суд РФ с просьбой признать не соответствующим Конституции РФ абзац 7 ст. 88 ТК РФ, согласно которому работодатель вправе запрашивать информацию о состоянии здоровья работника, которая относится к вопросу о возможности выполнения им трудовой функции.

Дело в том, что данному гражданину был выдан больничный лист. Работодатель решил проверить факт выдачи и обратился в медорганизацию. Там сообщили, что больничный действительно выдан в связи с тем, что гражданин получил травму и находился на амбулаторном лечении в травмпункте.

По мнению заявителя, тем самым медорганизация разгласила сведения, составляющие врачебную тайну.
Однако КС РФ так не посчитал.

Он указал, что оспариваемое положение ст. 88 ТК РФ, вопреки утверждению заявителя, направлено на сохранение конфиденциальной информации о состоянии здоровья работника.

Возможность соответствующего запроса работодателя допускается только в случаях, непосредственно связанных с осуществлением работодателем своих полномочий по организации управления производственным процессом. Поэтому не может расцениваться как нарушающее права работника.

Определение Конституционного Суда РФ от 25.10.2018 № 2690-О «Об отказе в принятии к рассмотрению жалобы гражданина Целуковского Дмитрия Юрьевича на нарушение его конституционных прав абзацем седьмым статьи 88 Трудового кодекса Российской Федерации» и частью 1 статьи 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации»

Список одновременно восьми нарушений при работе с персданными

Роскомнадзор выдал компании предписание об устранении нарушений законодательства в области персданных и одновременно возбудил дело по ст. 13.11 КоАП РФ.

Суд признал возбуждение дела преждевременным за отсутствием состава правонарушения.

Предписание же оставил в силе ввиду следующих нарушений.

1. В направленном в Роскомнадзор уведомлении не были указаны категории персданных:

  • гражданство физлиц;
  • адрес электронной почты физлица, ответственного за организацию обработки персданных;
  • почтовый адрес данного лица;
  • полный перечень стран, на территории которых осуществляется трансграничная передача персданных;
  • сведения о месте нахождения базы данных сайта компании.

2. Отсутствует согласие уволенных работников на трансграничную передачу их персданных на территорию Ирландии и Великобритании.

3. Анкеты, которые соискатели могут заполнить непосредственно в офисе на замещение вакантной должности, не соответствуют положению, утвержденному Постановлением Правительства РФ от 15.09.2008 № 687, в части отсутствия информации о цели и сроках обработки, перечне действий, которые будут совершаться в процессе обработки, и общего описания используемых способов обработки данных.

4. В составе личного дела работника были обнаружены резюме и согласие на обработку персданных кандидата – несовершеннолетнего работника, распечатанные с сайта.

5. Отсутствуют внутренние локальные акты, регламентирующие обработку персональных данных при включении уволенных работников в кадровый резерв, а также отсутствует отдельное письменное согласие соискателей, принявших решение вступить в кадровый резерв.

6. В личном деле работника в унифицированной форме Т-2 от руки указан номер телефона родителя работника, при этом согласие близкого родственника работника на обработку персданных в личном деле отсутствует.

7. Компания обрабатывает персданные работников, уволенных свыше 5 лет назад, после достижения цели обработки этих данных работников.

8. Осуществляется трансграничная передача персданных на территорию США на основании согласия в письменной форме работника, не соответствующего требованиям закона № 152-ФЗ.

Попытка оспорить предписание не увенчалась успехом, суд согласился с нарушениями.

Апелляционное Определение Московского городского суда от 04.06.2018 № 33а-3957/2018

Комментарии

14
  • НатальяС

     Компания обрабатывает персданные работников, уволенных свыше 5 лет назад

    Так срок хранения документов по зарплате сейчас 50 лет, как же не хранить?

    • Ali

      Там все веселее. Формально после увольнение мы не имеем право хранить и обрабатывать эти персональные данные и должны их уничтожить сразу после увольнения работников.

      При этом как подавать уточненку к примеру или годовой отчет - никто не знает


      С окончанием трудовых отношений, считается, что работодатель (оператор) достиг цели обработки персональных данных, и согласно п.4 ст.21 №152-ФЗ "обязан прекратить обработку персональных данных, и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных...".

      Так же, согласно п.1 ст.14 №152-ФЗ, бывший работник (субъект персональных данных) - вправе требовать от оператора (бывшего работодателя) блокирования или уничтожения персональных данных...".


  • Евгений

    Мне про копии очень интересно. Прямого запрета нигде нет, кроме того в копиях ровно та же информация, что и в личной карточке, трудовом договоре и т.п. Чем этим умникам копии то не угодили?

    А в целом: очередной пример, что наше законодательство соблюдать - себя не жалеть...

  • НатальяС

    Я вот думаю, а если работники напишут заявление, что просят считать все свои персональные данные публичными, тогда что с проверкой будет?