Николай Мисник, 01 октября 2018
Работники - те субъекты персональных данных, благодаря которым операторами персональных данных являются почти все юридические лица нашей страны. Именно поэтому они находятся в привилегированном положении: в трудовом кодексе выделена целая глава, которая регулирует вопросы обработки отдельного вида персональных данных – персональных данных работников. Кроме того, новое Постановление Правительства РФ № 1119 от 01.11.2012, установило новый вид информационной системы персональных данных – система, обрабатывающая персональные данные сотрудников оператора.
Несмотря на то, что законодатель нас постоянно подталкивает к защите и грамотной организации обработки персональных данных работников, большинство работодателей от этого старательно уклоняются. У каждого свои причины, но самая главная из них – страх перед неизведанным. В этой статье мы попытаемся передать необходимые знания об основных нарушениях при обработке персональных данных работников и о том, что необходимо сделать для их устранения.
Главная проблема в защите и организации обработки персональных данных – это наличие правовой основы обработки персональных данных. Запомните, сколько бы вы не потратили сил и времени на выполнение требований законодательства о персональных данных, – это может быть все впустую, если вы нарушаете принципы и условия их обработки. Принципы, описанные в статье 5 ФЗ «О персональных данных» и условия обработки, описанные в статье 6 закона ФЗ «О персональных данных по нашему мнению, одни из самых главных статей ФЗ «О персональных данных».
Удивительно, но 99% знакомых и опрошенных нашими коллегами специалистов кадровых служб уверены, что они имеют право хранить ксерокопию паспорта сотрудника, при том, что, только 5% из них могут сказать для чего он им нужен (любая формулировка кроме «на всякий случай»), и никто из них не может назвать правовое основание и законную цель обработки материального носителя персональных данных – ксерокопии.
Дело в том, что в нашем законодательстве очень сложно найти законное основание для хранения ксерокопий паспортов работника в личном деле кроме некоторых случаев, связанных с государственной службой. Более того, термин личное дело вообще встречается только в государственной и муниципальной службе. Главное не путать хранение без цели «на всякий случай» и однократное использование для каких-либо нужд, например, если нужно ксерокопию паспорта работника отправить в учебное заведение, где он будет повышать квалификацию или в банк для выдачи банковской карты.
Во втором случае если нам нужна копия этого документа, то мы ее у него запрашиваем непосредственно для выполнения определенного действия с персональными данными. Хранение документов «на всякий случай» действующим законодательством о персональных данных не предусмотрено.
Даже если взять с работника согласие на обработку ксерокопии паспорта – это не поможет, потому что исходя из статьи 5 ФЗ «О персональных данных» обработке подлежат только те персональные данные, которые отвечают целям их обработки, а цели должны быть конкретными и законными. Грубо говоря, вы не сможете объяснить Роскомнадзору зачем вам эти данные. Вы скажете, что для трудоустройства, они вам в ответ, что ТК РФ устанавливает закрытый перечень документов, предъявляемых при поступлении на работу. Посмотрел в паспорт, данные в Т-2 переписал и верни паспорт обратно. И так далее.
Конечно, дорогие читатели и их коллеги по кадровому цеху могут возразить и придумать цель для хранения копии паспорта работника в личном деле, но пока никому не удавалось. А пока это одно из любимейших нарушений Роскомнадзора на плановых проверках.
Ксерокопия паспорта далеко не единственный документ, хранящийся в личном деле, с которым на проверках могут возникнуть проблемы. Главное запомнить, что при определении целей обработки персональных данных работников в любых случаях мы должны придерживаться рамок Трудового кодекса Российской Федерации - статья 86: «обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества».
Другой волнующей темой при обработке персональных данных работников является передача данных работников третьим лицам. Трудовой кодекс предусматривает, что при передаче работодателем персональных данных работника, первый обязан запастись письменным согласием на обработку.
Здесь мы плавно переходим к другому самому частому нарушению, фиксируемому Роскомнадзором и его территориальными органами при проведении проверочных мероприятий. Сейчас почти в каждой организации заработную плату работники получают на банковские карты.
Однако, почти всегда, отношения с банком в области обработки персональных данных оформляются неправильно с точки зрения регуляторов. Прежде всего, с работника забывают взять согласие, а так как по ТК это согласие должно быть в письменной форме, его необходимо оформить со всеми требованиями статьи 9 ФЗ «О персональных данных». Очень часто операторы путаются в согласиях для зарплатного проекта, потому что банки предоставляют свои формы согласий. Здесь важно понимать, что согласие должен давать работник своему работодателю на передачу своих персональных данных в банк согласно статье 88 ТК РФ. Поэтому согласия, которые берет банк для вас, как для работодателей не играют для вас никакой роли.
Другой важный момент если в вашем согласии прописано, что работник разрешает передавать свои данные в кредитные организации без указания конкретной организации, то это тоже будет нарушением. Необходимо указать в какой именно банк будут передаваться данные.
Конечно, не все случаи передачи требуют письменного согласия работника, но вам нужно будет определить какие.
Кроме нарушения непосредственно самого закона, работодатель часто нарушает и требования подзаконных актов, в частности Постановления Правительства 687 от 15.09.2008. Самый частый случай это нарушение пункта 6 данного постановления: «Лица, осуществляющие обработку персональных данных… должны быть проинформированы о факте обработке ими персональных данных,… категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки…».
Все возможные нарушения невозможно изложить в данной статье, но мы надеемся, что она поможет вам избежать основные. Еще важно понимать, что сотрудники Роскомнадзора РФ и его территориальных органов при проведении проверки не будут досконально изучать ваши локальные документы, часто они вообще не уделяют им внимание. Есть документы и хорошо. Сотрудники Роскомнадзора, как большие профессионалы, поступают правильно, ведь намного важнее не наличие красивых документов, а законность обработки тех или иных персональных данных.
И в подтверждение наших доводов вы можете ознакомиться с разделом судебной практики на нашем сайте, из которой видно, что почти все основные нарушения вообще не связаны с комплектом ваших внутренних документов. Вы пригласили специалистов, они сделали вам комплект документов, поставили средства защиты и ушли, оставив вас один на один со всеми проблемами.
Поэтому, важным элементом построения грамотной защиты и системы обработки персональных данных в организации является наличие своего специалиста, разбирающегося в законодательстве о персональных данных. Мы не говорим, что нужно их искать и увеличивать штат. Обработка персональных данных это каждодневная деятельность сотрудника отдела кадров. И вдвойне будет замечательно, если ваш кадровик во всем сам разберется, станет хорошим специалистом и в вопросах обработки персональных данных работников.
Если у вас обрабатываются персональные данные и других субъектов, то не надо все валить на специалиста по кадрам, так как обработка персональных данных иных субъектов также требует определенных знаний. Возможно, для этого его нужно будет отправить на пару семинаров или пригласить на аудит сторонних специалистов, но это будет лучше, чем не иметь такого специалиста вообще.
США изучают возможность включения приложения TikTok в "черный список"
Практические моменты обработки персональных данных без использования средств автоматизации
Идентификация в отчетности государственных служащих
Ответственность работника за разглашение персональных данных
Интересная судебная практика
Отправка Уведомления Оператора "без ошибок"
Принимаемые меры при поручении обработки третьему лицу
7 простых шагов для защиты документов в Google Docs