1. Нужно ли получать у работника согласие на обработку его персональных данных
Не всегда. Когда речь идет о персональных данных, необходимых для заключения договора с сотрудником, его согласие на их обработку не нужно (п. 5 ч. 1 ст. 6 закона от 27 июля 2006 г. № 152-ФЗ).
Работодатель имеет право запрашивать и обрабатывать информацию о сотруднике в том объеме и ситуациях, которые указаны в законе, коллективном договоре и локальных актах.
Например:
результаты обязательного предварительного медосмотра (ст. 69 ТК);
данные из документов, которые работник предъявил при заключении трудового договора (ст. 65 ТК).
Если компания продолжает вести личные карточки по форме № Т-2, то на сбор персональных данных в объеме, предусмотренном этим документом, согласие тоже не нужно.
Письменное согласие работника необходимо, когда работодатель:
запрашивает информацию, не связанную с заключением и исполнением договора (например, номер личного мобильного телефона или email-адрес);
будет обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица (ст. 10.1 закона № 152-ФЗ, письмо Роскомнадзора от 23 сентября 2022 г. № 08-85970).
Если не попросить сотрудника дать письменное согласие в этих случаях, можно получить штраф:
для должностных лиц — от 100 000 до 300 000 рублей;
для юридических лиц — от 300 000 до 700 000 рублей (ч. 2 ст. 13.11 КоАП).
Как правило, компании необходимо больше информации о сотрудниках, чем предусмотрено в законодательстве. Поэтому большинство работодателей при трудоустройстве получают у работников письменные согласия на обработку данных.
Но важно помнить: организация не имеет права собирать и хранить лишние персональные данные — например, информацию о политических и религиозных убеждениях, частной жизни и пр. Нарушение этого правила также может привести к штрафам:
для должностных лиц — от 10 000 до 20 000 рублей;
для организаций — от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП).
Как заполнять трудовые книжки, кадровую документацию и формировать отчеты по сотрудникам без ошибок, расскажем на курсе профпереподготовки с дипломом «Кадровик с нуля до профи: все навыки от ТК до 1С: ЗУП».
Вы научитесь вести кадровый учет, увольнять и принимать сотрудников, оформлять все виды рабочего времени, отпуска и пособия, вести воинский учет и работать в 1С:ЗУП. После обучения вы получите диплом на 256 ак. часов, который внесем в реестр Рособрнадзора ФИС ФРДО.
Сейчас вы записаться на курс можно со скидкой за 8 900 рублей вместо 32 890 рублей. Старт обучения уже 1 июня!
Программа соответствует профстандарту «Специалист по управлению персоналом» и стандартам Министерства образования РФ.
2. Что делать, если сотрудник отозвал согласие на обработку персональных данных
Сотрудник в любой момент вправе отозвать свое согласие на обработку персональных данных. Для этого ему достаточно подать заявление в произвольной форме на имя работодателя (ч. 2 ст. 9 закона № 152-ФЗ).
Однако это не повод прекращать обработку всех персональных данных сотрудника и тем более его увольнять. Работодатель по-прежнему может обрабатывать информацию, которая необходима:
для выполнения работодателем обязанностей, возложенных на него законом (п. 2 ч. 1 ст. 6 закона № 152-ФЗ);
при реализации международных соглашений (п. 2 ч. 1 ст. 6 закона № 152-ФЗ);
для исполнения судебного акта и иных актов, предусмотренных законодательством об исполнительном производстве (п. 3 ч. 1 ст. 6 закона № 152-ФЗ);
для предоставления государственных или муниципальных услуг (п. 4 ч. 1 ст. 6 закона № 152-ФЗ);
для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является работник (п. 5 ч. 1 ст. 6 закона № 152-ФЗ);
для защиты жизни, здоровья и иных интересов работника (п. 6 ч. 1 ст. 6 закона № 152-ФЗ);
для реализации прав и законных интересов работодателя или для достижения общественно значимых целей, если при этом не нарушаются права и свободы сотрудника (п. 7 ч. 1 ст. 6 закона № 152-ФЗ);
для сбора статистики и проведения исследований при условии обезличивания персональных данных (п. 9 ч. 1 ст. 6 закона № 152-ФЗ);
если этого требует законодательство. Например, нужна информация из первичных учетных документов для сдачи налоговой или бухгалтерской отчетности, хранения документов в архиве организации (письмо Минфина от 24 апреля 2023 г. № 07-01-09/37355).
3. Как хранить документы, содержащие персональные данные работников
Работодатель должен исключить возможность неправомерного доступа третьих лиц к персональным данным работников — в том числе тем, что хранятся на материальных носителях (например, личные дела, бумажные трудовые книжки и приказы).
Для этого необходимо:
Создать перечень сотрудников, которые обрабатывают персональные данные или имеют к ним доступ, и утвердить его приказом руководителя. Обычно в список входят генеральный директор, его заместители, специалисты кадровой службы, бухгалтерии, службы безопасности и юридического отдела.
Составить положение о защите персональных данных, в котором будет указано, где хранится личная информация сотрудников. Организация вправе самостоятельно их определять. Например, хранить бумажные документы в сейфах или металлических несгораемых шкафах с замками, а электронные — в локальной компьютерной сети.
Работодатель вправе разместить на папках с бумажными документами гриф ограничения доступа («Персональные данные» или «Конфиденциально»), но закон не обязывает это делать.
4. Можно ли уволить сотрудника за разглашение персональных данных других работников
Да, но только если работник:
получил сведения в связи с исполнением им трудовых обязанностей;
подписал обязательство о неразглашении персональных данных (п. 7 ст. 86 ТК, п. 43 постановления пленума Верховного суда от 17 марта 2004 г. № 2).
В остальных случаях уволить сотрудника за разглашение персональных данных коллег нельзя.
5. Что делать, если нужно уничтожить информацию о персональных данных сотрудников
Работодатели обязаны подтверждать уничтожение персональных данных в порядке, установленном в приказе Роскомнадзора от 28 октября 2022 г. № 179 «Об утверждении требований к подтверждению уничтожения персональных данных».
Если речь идет об ликвидации бумажных документов, составьте акт об уничтожении персональных данных. В нем должны быть указаны:
наименование и адрес юридического лица;
Ф. И. О. сотрудников, чьи персональные данные были уничтожены;
Ф. И. О., должности лиц, уничтоживших персональные данные работников, а также их подписи;
перечень категорий уничтоженных персональных данных;
наименования уничтоженных документов с указанием количества листов в каждом (в случае обработки персональных данных без использования средств автоматизации);
способ, причина и дата уничтожения персональных данных.
Если вы удаляете персональные данные из электронной информационной системы, обязательно настройте журнал регистрации событий. Тогда ваши действия будут отражены в акте и выгрузке из журнала.
Акты и выгрузки из информационных журналов хранят в течение 3 лет с момента уничтожения персональных данных.
Начать дискуссию