Перейти к основному содержанию

Персональные данные работников

Персональные данные (далее ПДн) сотрудников — это конфиденциальная информация, охраняемая законом. Любые лица, имеющие к ним доступ (сотрудники кадровой службы, бухгалтерии, IT-специалисты и непосредственные руководители), обязаны предотвращать их распространение без согласия субъекта или иного законного основания. В эпоху цифровизации и удаленной работы риски утечек возросли, что делает вопросы защиты личной информации сотрудников как никогда актуальными.

Актуальная нормативная база

Право на неприкосновенность частной жизни, включая защиту персональных данных, закреплено в ст. 23 и 24 Конституции РФ. Детальную регламентацию обеспечивают следующие ключевые акты:

  • Трудовой кодекс РФ (Глава 14) — устанавливает базовые принципы работы с ПДн работника.
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — основной регулятор, определяющий понятия, принципы и требования к обработке.
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации...» — регулирует вопросы защиты информации в целом.
  • Постановление Правительства РФ от 01.11.2012 № 1119 — утверждает требования к защите ПДн в информационных системах.
  • Приказ Роскомнадзора от 05.09.2013 № 996 — содержит Рекомендации по заполнению формы уведомления об обработке ПДн.
  • Приказ ФСТЭК России от 18.02.2013 № 21 — утверждает Состав и содержание организационных и технических мер по защите ПДн.

Работодатель обязан разработать и утвердить Локальный нормативный акт (ЛНА) о защите персональных данных (Положение или Инструкцию). С этим документом необходимо под роспись ознакомить всех сотрудников, имеющих доступ к ПДн

Что входит в персональные данные: расширенный перечень

Согласно ст. 3 152-ФЗ, персональные данные — это любая информация, прямо или косвенно относящаяся к идентифицированному физическому лицу. Перечень является открытым и может включать:

  • Базовые анкетные данные: ФИО, дата и место рождения, гражданство.
  • Биометрические данные: фотография, отпечатки пальцев (используются в системах контроля доступа).
  • Данные документов: паспорт, ИНН, СНИЛС, документы об образовании, военный билет.
  • Социальные и трудовые сведения: адрес, семейное положение, состав семьи, профессия, стаж, содержание трудового договора, размер зарплаты, сведения о доходах и имуществе.
  • Специфические данные: состояние здоровья (результаты медосмотров), наличие судимости, религиозные и политические убеждения (обработка которых строго ограничена ст. 10 152-ФЗ).
  • Производные данные: личное дело, трудовая книжка, приказы по личному составу, материалы аттестаций, переписка корпоративной почты, геолокация служебного автомобиля или мобильного устройства.

В связи с развитием систем безопасности и аналитики все более распространенной становится обработка биометрических ПДн и данных о рабочем времени и продуктивности, что требует от работодателя особой внимательности при получении согласия и обеспечении безопасности

Обработка персональных данных: принципы и новшества

Обработка ПДн — это любое действие с данными: сбор, запись, хранение, использование, передача, удаление.

Ключевые принципы (ст. 5 152-ФЗ):

  1. Законность и добросовестность.
  2. Ограничение целями обработки.
  3. Соответствие объема и содержания заявленным целям.
  4. Достоверность и актуальность.
  5. Обеспечение безопасности.
  6. Сроки хранения не должны превышать необходимые.

Особенности:

  • Удаленный режим работы: При переводе сотрудников на удаленку необходимо обновлять ЛНА, регламентирующие использование защищенных каналов связи (VPN, корпоративные мессенджеры), хранение документов дома и порядок их уничтожения.
  • Трансграничная передача: После изменений в законодательстве передача ПДн за рубеж возможна только в страны, являющиеся участниками Конвенции Совета Европы № 108, либо при обеспечении адекватного уровня защиты. Уведомление Роскомнадзора о такой передаче обязательно.

Согласие на обработку: когда нужно и как оформить

Общее правило: обработка требует письменного согласия работника. Оно должно быть конкретным, информированным и содержать:

  • ФИО, адрес субъекта, реквизиты паспорта.
  • Цели обработки.
  • Перечень данных.
  • Перечень действий с данными.
  • Срок действия согласия и способ его отзыва.

Случаи, когда согласие НЕ требуется (ст. 6 152-ФЗ):

  • Обработка необходима для исполнения трудового договора (например, для расчета и выплаты зарплаты, направления в командировку).
  • Данные являются общедоступными.
  • Обработка предусмотрена федеральным законом (например, передача данных в ПФР, ФНС, ФСС).
  • Обработка осуществляется для защиты жизни или здоровья сотрудника.

Распространенной ошибкой является требование согласия на действия, которые и так входят в обязанности работодателя по трудовому договору. Согласие необходимо запрашивать только для избыточных операций, например, для размещения фото в интранете, передачи данных банку для корпоративной карты (если это не прописано в коллективном договоре) или для участия в внутренних исследованиях

Хранение и защита: практические шаги для работодателя

  1. Разработка ЛНА: Создайте и утвердите Положение о защите ПДн.
  2. Назначение ответственных: Назначьте приказом сотрудника, ответственного за организацию обработки ПДн.
  3. Оценка рисков и классификация ИСПДн: Проведите оценку актуальных угоб и определите тип вашей информационной системы персональных данных (ИСПДн). От этого зависит набор необходимых мер защиты.
  4. Реализация мер защиты:
    • Организационные: Регламенты доступа к данным, обучение сотрудников, подписки о неразглашении.
    • Технические: СЗИ от НСД, антивирусы, шифрование, резервное копирование, регулярное обновление ПО.
    • Правовые: Заключение договоров с третьими лицами (обработчиками), где прописаны их обязанности по защите данных.
  5. Соблюдение сроков хранения: Руководствуйтесь:
    • Приказом Минкультуры России от 25.08.2010 № 558 (например, личные карточки (Т-2) и трудовые договоры хранятся 75 лет, а расчетные ведомости — 5 лет, а при отсутствии лицевых счетов — 75 лет).
    • ЛНА компании, где должен быть четко прописан порядок уничтожения данных по истечении сроков.

Ответственность за нарушения

Нарушение законодательства о ПДн влечет серьезные последствия.

 

Вид ответственностиНормаВозможные санкции
ДисциплинарнаяСт. 81, 192 ТК РФЗамечание, выговор, увольнение по п. 6 «в» ч. 1 ст. 81 ТК РФ (разглашение персональных данных другого работника).
МатериальнаяСт. 243 ТК РФПолное возмещение ущерба, причиненного работодателю в результате разглашения ПДн.
АдминистративнаяСт. 13.11 КоАП РФ (актуальные штрафы на 2025 г.)Для юридических лиц штрафы достигают до 500 000 рублей в зависимости от типа нарушения. Для должностных лиц — до 50 000 рублей. Повторное нарушение может привести к дисквалификации.
УголовнаяСт. 137, 140 УК РФВ случае сбора или распространения сведений о частной жизни без согласия, с использованием служебного положения, предусмотрены штрафы до 500 000 руб., принудительные работы или лишение свободы на срок до 5 лет.

Частые вопросы о персональных данных

1. Что относится к персональным данным работника?

К персональным данным относятся: ФИО, дата и место рождения, паспортные данные, адрес, семейное положение, образование, профессия, доходы, состояние здоровья, биометрические данные и иная информация, относящаяся к конкретному работнику.

2. Какие документы должен иметь работодатель для работы с персональными данными?

Работодатель должен иметь: положение об обработке персональных данных, приказ о назначении ответственного за обработку, согласие работников на обработку данных, перечень лиц, имеющих доступ к данным, журнал учета обработки данных.

3. Нужно ли получать согласие работника на обработку персональных данных?

Да, за исключением случаев, когда обработка необходима для исполнения трудового договора. Согласие должно быть конкретным, информированным и сознательным, оформляется в письменной форме.

4. Какие права имеет работник в отношении своих персональных данных?

Работник имеет право: на доступ к своим данным, на уточнение данных, на блокирование и уничтожение данных, на отзыв согласия на обработку, на получение информации о лицах, имеющих доступ к данным.

5. Можно ли передавать персональные данные третьим лицам?

Да, но только с письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, или в установленных законом случаях (например, в Пенсионный фонд, налоговые органы).

6. Какие меры защиты персональных данных должен обеспечить работодатель?

Работодатель должен: назначить ответственного, утвердить положение об обработке данных, ограничить доступ к данным, вести учет операций с данными, использовать средства защиты информации, обучать сотрудников.

7. Как долго можно хранить персональные данные работника?

Персональные данные хранятся в течение срока, необходимого для достижения целей их обработки, но не менее сроков, установленных трудовым и архивным законодательством (личные карточки - 75 лет, приказы - до 5 лет).

8. Можно ли собирать данные о здоровье работника?

Да, но только в случаях, прямо предусмотренных трудовым законодательством (медицинские осмотры, больничные листы), и с соблюдением специальных требований к защите таких категорий персональных данных.

9. Какая ответственность за нарушение законодательства о персональных данных?

Предусмотрена административная ответственность по ст. 13.11 КоАП РФ (штрафы до 75 000 руб.), дисциплинарная, материальная, а в некоторых случаях - уголовная ответственность по ст. 137 УК РФ.

10. Нужно ли уведомлять Роскомнадзор об обработке персональных данных?

Да, до начала обработки персональных данных оператор обязан направить уведомление в Роскомнадзор, за исключением случаев, когда обработка осуществляется для исполнения трудового договора.

11. Можно ли обрабатывать персональные данные без согласия при приеме на работу?

При рассмотрении кандидатур соискателей согласие необходимо получать до сбора данных. Исключение - случаи, когда данные получены из общедоступных источников или предоставлены самим соискателем в резюме.

12. Какие данные нельзя требовать от работника?

Нельзя требовать данные о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, за исключением случаев, предусмотренных законом.

13. Как быть с персональными данными при увольнении работника?

После увольнения персональные данные подлежат уничтожению или обезличиванию в установленные сроки, за исключением случаев, когда законодательство требует их дальнейшего хранения.

14. Можно ли использовать видеонаблюдение на рабочем месте?

Да, но работники должны быть предварительно уведомлены о ведении видеонаблюдения, его целях и местах установки камер. Не допускается скрытое видеонаблюдение.

15. Что делать при утечке персональных данных?

Немедленно сообщить в Роскомнадзор, принять меры к устранению последствий, провести внутреннее расследование, уведомить субъектов персональных данных, при необходимости - заблокировать данные.

Итог

  1. Актуализировать ЛНА под современные вызовы (удаленка, биометрия).
  2. Провести аудит процессов обработки ПДн на соответствие 152-ФЗ.
  3. Обеспечить техническую защиту ИСПДн в соответствии с уровнем угроз.
  4. Регулярно обучать сотрудников, работающих с ПДн.
  5. Четко разграничивать случаи, когда согласие на обработку необходимо, и когда обработка осуществляется в рамках трудового договора.

Грамотно выстроенная работа с персональными данными — это не только соблюдение закона, но и важный элемент деловой репутации и доверия внутри коллектива.

Категория :
Управление персоналом