Пять вопросов об обработке и хранении персональных данных сотрудников

1. Нужно ли получать у работника согласие на обработку его персональных данных

Не всегда. Когда речь идет о персональных данных, необходимых для заключения договора с сотрудником, его согласие на их обработку не нужно (п. 5 ч. 1 ст. 6 закона от 27 июля 2006 г. № 152-ФЗ).

Например:

• результаты обязательного предварительного медосмотра (ст. 69 ТК);

• данные из документов, которые работник предъявил при заключении трудового договора (ст. 65 ТК).

Если компания продолжает вести личные карточки по форме № Т-2, то на сбор персональных данных в объеме, предусмотренном этим документом, согласие тоже не нужно.

Письменное согласие работника необходимо, когда работодатель:

• запрашивает информацию, не связанную с заключением и исполнением договора (например, номер личного мобильного телефона или email-адрес);

• будет обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица (ст. 10.1 закона № 152-ФЗ, письмо Роскомнадзора от 23 сентября 2022 г. № 08-85970).

Если не попросить сотрудника дать письменное согласие в этих случаях, можно получить штраф:

• для должностных лиц — от 100 000 до 300 000 рублей;

• для юридических лиц — от 300 000 до 700 000 рублей (ч. 2 ст. 13.11 КоАП).

Но важно помнить: организация не имеет права собирать и хранить лишние персональные данные — например, информацию о политических и религиозных убеждениях, частной жизни и пр. Нарушение этого правила также может привести к штрафам:

• для должностных лиц — от 10 000 до 20 000 рублей;

• для организаций — от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП).

2. Что делать, если сотрудник отозвал согласие на обработку персональных данных

Сотрудник в любой момент вправе отозвать свое согласие на обработку персональных данных. Для этого ему достаточно подать заявление в произвольной форме на имя работодателя (ч. 2 ст. 9 закона № 152-ФЗ).

Однако это не повод прекращать обработку всех персональных данных сотрудника и тем более его увольнять. Работодатель по-прежнему может обрабатывать информацию, которая необходима:

• для выполнения работодателем обязанностей, возложенных на него законом (п. 2 ч. 1 ст. 6 закона № 152-ФЗ);

• при реализации международных соглашений (п. 2 ч. 1 ст. 6 закона № 152-ФЗ);

• для исполнения судебного акта и иных актов, предусмотренных законодательством об исполнительном производстве (п. 3 ч. 1 ст. 6 закона № 152-ФЗ);

• для предоставления государственных или муниципальных услуг (п. 4 ч. 1 ст. 6 закона № 152-ФЗ);

• для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является работник (п. 5 ч. 1 ст. 6 закона № 152-ФЗ);

• для защиты жизни, здоровья и иных интересов работника (п. 6 ч. 1 ст. 6 закона № 152-ФЗ);

• для реализации прав и законных интересов работодателя или для достижения общественно значимых целей, если при этом не нарушаются права и свободы сотрудника (п. 7 ч. 1 ст. 6 закона № 152-ФЗ);

• для сбора статистики и проведения исследований при условии обезличивания персональных данных (п. 9 ч. 1 ст. 6 закона № 152-ФЗ);

• если этого требует законодательство. Например, нужна информация из первичных учетных документов для сдачи налоговой или бухгалтерской отчетности, хранения документов в архиве организации (письмо Минфина от 24 апреля 2023 г. № 07-01-09/37355).

3. Как хранить документы, содержащие персональные данные работников

Работодатель должен исключить возможность неправомерного доступа третьих лиц к персональным данным работников — в том числе тем, что хранятся на материальных носителях (например, личные дела, бумажные трудовые книжки и приказы).

Для этого необходимо:

1. Создать перечень сотрудников, которые обрабатывают персональные данные или имеют к ним доступ, и утвердить его приказом руководителя. Обычно в список входят генеральный директор, его заместители, специалисты кадровой службы, бухгалтерии, службы безопасности и юридического отдела.

2. Составить положение о защите персональных данных, в котором будет указано, где хранится личная информация сотрудников. Организация вправе самостоятельно их определять. Например, хранить бумажные документы в сейфах или металлических несгораемых шкафах с замками, а электронные — в локальной компьютерной сети.

4. Можно ли уволить сотрудника за разглашение персональных данных других работников

Да, но только если работник:

• получил сведения в связи с исполнением им трудовых обязанностей;

• подписал обязательство о неразглашении персональных данных (п. 7 ст. 86 ТК, п. 43 постановления пленума Верховного суда от 17 марта 2004 г. № 2).

В остальных случаях уволить сотрудника за разглашение персональных данных коллег нельзя.

5. Что делать, если нужно уничтожить информацию о персональных данных сотрудников

Работодатели обязаны подтверждать уничтожение персональных данных в порядке, установленном в приказе Роскомнадзора от 28 октября 2022 г. № 179 «Об утверждении требований к подтверждению уничтожения персональных данных».

Если речь идет об ликвидации бумажных документов, составьте акт об уничтожении персональных данных. В нем должны быть указаны:

• наименование и адрес юридического лица;

• Ф. И. О. сотрудников, чьи персональные данные были уничтожены;

• Ф. И. О., должности лиц, уничтоживших персональные данные работников, а также их подписи;

• перечень категорий уничтоженных персональных данных;

• наименования уничтоженных документов с указанием количества листов в каждом (в случае обработки персональных данных без использования средств автоматизации);

• способ, причина и дата уничтожения персональных данных.

Акты и выгрузки из информационных журналов хранят в течение 3 лет с момента уничтожения персональных данных.