Перейти к основному содержанию

Персональные данные работников (обработка, хранение, защита) - часто задаваемые вопросы

1. Общие понятия и правовые основы

1. Что понимается под персональными данными работника?

Персональные данные работника — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), предоставленная работодателю в соответствии с трудовым законодательством или полученная работодателем в связи с трудовыми отношениями. Это, в частности, фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, состояние здоровья (ст. 3 152-ФЗ, ст. 85 ТК РФ).

2. На основании каких нормативных актов осуществляется обработка персональных данных работников?

Основными нормативными актами являются: Глава 14 Трудового кодекса Российской Федерации "Защита персональных данных работника", Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных", Постановление Правительства РФ от 15.09.2008 № 687, а также локальные нормативные акты работодателя.

3. Кто является оператором персональных данных работника?

Оператором персональных данных работника является работодатель — юридическое или физическое лицо, организующее и осуществляющее обработку персональных данных работников, а также определяющее цели и содержание их обработки (ст. 3 152-ФЗ, ст. 85 ТК РФ).

4. Что такое обработка персональных данных?

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 152-ФЗ).

5. Каковы основные принципы обработки персональных данных работника?

Обработка должна осуществляться на законной и справедливой основе; ограничиваться достижением конкретных, заранее определенных и законных целей; должна быть соразмерной и не избыточной; обеспечивать точность, достаточность и актуальность данных; храниться не дольше, чем этого требуют цели обработки (ст. 5 152-ФЗ).

6. Требуется ли согласие работника на обработку его персональных данных?

В общем случае, да. Однако в соответствии с трудовым законодательством (ст. 86 ТК РФ) обработка персональных данных работника может осуществляться в целях обеспечения соблюдения законов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества без согласия работника, если это предусмотрено ТК РФ или иными федеральными законами.

7. Какие персональные данные работника запрещено обрабатывать?

Запрещается обработка персональных данных работника, касающихся его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, если это не связано с вопросами трудовых отношений и не требуется в соответствии с федеральным законом (например, данные о здоровье для определения профпригодности) (ст. 86 ТК РФ).

8. Может ли работодатель запрашивать у работника информацию о его судимости?

Да, если в соответствии с федеральным законом наличие (отсутствие) судимости является условием допуска к определенной работе или должности (например, для педагогических работников, работников в сфере транспорта и авиации). В иных случаях такой запрос будет неправомерен.

9. Что относится к специальным категориям персональных данных?

К специальным категориям относятся данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ч. 1 ст. 10 152-ФЗ). Их обработка допускается в строго определенных законом случаях, например, если она необходима для реализации прав работодателя и работника в сфере трудового законодательства.

10. Что такое биометрические персональные данные и можно ли их обрабатывать в трудовых отношениях?

Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (например, отпечатки пальцев, рисунок радужной оболочки глаза, фото- и видеоизображение). Их обработка для установления личности работника возможна только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством о безопасности, правопорядке и др. (ст. 11 152-ФЗ). Использование систем контроля доступа по отпечатку пальца требует отдельного письменного согласия работника.

2. Согласие на обработку персональных данных и информирование

11. В какой форме должно быть получено согласие на обработку персональных данных работника?

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. В общем случае оно оформляется в письменной форме. В соответствии с ТК РФ, работник дает согласие на обработку своих персональных данных при подписании трудового договора и иных документов (ст. 65 ТК РФ, ст. 9 152-ФЗ). Работодатель может оформить отдельный документ — заявление или согласие.

12. Что должно содержать согласие на обработку персональных данных?

Согласие должно содержать: ФИО, адрес субъекта, номер основного документа, сведения о работодателе (операторе), цель обработки, перечень данных, на обработку которых дается согласие, перечень действий с данными, срок действия согласия и порядок его отзыва, а также подпись субъекта (ст. 9 152-ФЗ).

13. Можно ли получить согласие работника на обработку его данных в электронной форме?

Да, согласие, оформленное в электронной форме и подписанное простой электронной подписью в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ "Об электронной подписи", признается равнозначным согласию в письменной форме на бумажном носителе, если это позволяет однозначно установить субъекта данных (ч. 4 ст. 9 152-ФЗ).

14. Обязан ли работодатель уведомлять Роскомнадзор об обработке персональных данных работников?

Да, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган (Роскомнадзор) о своем намерении осуществлять обработку, за исключением случаев, когда обработка осуществляется в целях исполнения договора, стороной которого является субъект данных, или для осуществления прав и законных интересов оператора (например, в рамках трудовых отношений) без распространения данных (ст. 22 152-ФЗ). Обработка ПДн работников, как правило, подпадает под исключение, но уточнение необходимо в каждом конкретном случае.

15. Обязан ли работодатель информировать работника об обработке его персональных данных?

Да, при сборе персональных данных работодатель обязан сообщить работнику о целях, предполагаемых пользователях и иных сведениях, предусмотренных законом (ст. 9 152-ФЗ). Эта информация, как правило, содержится в согласии на обработку или в локальном нормативном акте, с которым работник должен быть ознакомлен под подпись (ст. 86 ТК РФ).

16. Как работник может отозвать свое согласие на обработку персональных данных?

Субъект персональных данных вправе отозвать свое согласие. Отзыв согласия должен быть осуществлен в той же форме, в которой согласие было получено (письменной или электронной). Однако работодатель вправе продолжить обработку данных без согласия работника, если это необходимо для выполнения обязанностей, предусмотренных трудовым законодательством (например, для начисления и выплаты заработной платы, уплаты налогов) (ст. 86 ТК РФ).

17. Нужно ли получать согласие на обработку персональных данных у кандидата на вакантную должность?

Да, поскольку кандидат также является субъектом персональных данных. Согласие необходимо получать до момента передачи резюме или заполнения анкеты. Цель обработки в этом случае — рассмотрение кандидатуры для заключения трудового договора.

18. Что такое политика в отношении обработки персональных данных?

Это документ, обязательный для раскрытия информации о реализуемых оператором требованиях к защите персональных данных (ст. 18.1 152-ФЗ). Работодатель, как оператор, обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.

19. Какие сведения об обработке персональных данных должен раскрывать оператор по запросу субъекта?

Оператор обязан по запросу субъекта предоставить информацию, предусмотренную ч. 7 ст. 14 152-ФЗ, в том числе: подтверждение факта обработки, правовые основания и цели обработки, способы обработки, сведения о лицах, которым могут быть раскрыты данные, перечень обрабатываемых данных и срок их обработки.

3. Права работника как субъекта персональных данных

20. Какие права имеет работник в отношении своих персональных данных?

Работник имеет право на: полную информацию об обработке его ПДн; свободный бесплатный доступ к своим данным, включая право получать копии; уточнение, блокирование или уничтожение своих данных в случае их неполноты, устаревания, неточности или незаконности получения; отзыв согласия на обработку; защиту своих прав и законных интересов, в том числе в судебном порядке (ст. 14 152-ФЗ, ст. 89 ТК РФ).

21. Может ли работник получить копии документов, содержащих его персональные данные?

Да, работник или его представитель имеет право на получение сведений, содержащих его персональные данные, за исключением случаев, предусмотренных федеральным законом. Копии документов, содержащих персональные данные работника, должны быть предоставлены ему для ознакомления бесплатно (ст. 62 ТК РФ, ст. 89 ТК РФ).

22. Может ли работник требовать от работодателя изменить или удалить неверные персональные данные?

Да, работник имеет право требовать от работодателя уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Работодатель обязан внести изменения или уничтожить часть данных в установленном порядке (ст. 89 ТК РФ).

23. Что такое право на доступ и как его реализовать?

Право на доступ — это право субъекта получить от оператора информацию, касающуюся обработки его персональных данных. Реализуется путем направления запроса оператору. Работодатель обязан предоставить запрашиваемую информацию в течение 30 дней с момента получения запроса (ст. 14 152-ФЗ).

24. Может ли работник запретить передачу своих персональных данных определенным лицам внутри организации?

В общем случае доступ к персональным данным работника внутри организации имеют только специально уполномоченные лица (руководитель, работники кадровой службы, бухгалтерии). Работник может оспорить круг таких лиц, если считает, что доступ предоставлен лицам, не имеющим отношения к выполнению трудовых обязанностей. Ограничения на передачу должны быть указаны в локальных актах.

25. Как работник может обжаловать действия или бездействие работодателя при обработке его данных?

Работник вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке. До подачи жалобы в государственный орган работник может обратиться к работодателю с требованием устранить нарушения (ст. 89 ТК РФ).

26. Обязан ли работодатель сообщать работнику о фактах передачи его персональных данных третьим лицам?

При сборе персональных данных работодатель обязан сообщить работнику о категориях возможных получателей его данных (например, банки, пенсионный фонд, ФСС). При каждой конкретной передаче отдельного уведомления не требуется, если передача осуществляется в рамках заявленных целей и перечня получателей. Однако работник имеет право запросить информацию о конкретных фактах передачи.

4. Обязанности работодателя (оператора) и локальные акты

27. Каковы основные обязанности работодателя по защите персональных данных работника?

Работодатель обязан: обрабатывать персональные данные работника в соответствии с требованиями закона; обеспечивать их защиту от неправомерного доступа; ознакомить работников и их представителей с документами, устанавливающими порядок обработки ПДн; ограничить доступ к данным лиц, не имеющих права на доступ; не запрашивать информацию, не относящуюся к трудовым отношениям (ст. 86 ТК РФ).

28. Какие локальные нормативные акты должен принять работодатель?

Работодатель должен принять локальный нормативный акт (чаще всего — Положение о защите персональных данных работников), в котором устанавливаются порядок хранения, использования и передачи ПДн, а также меры по их защите. С этим документом, а также с иными документами, устанавливающими порядок обработки ПДн, работники должны быть ознакомлены под подпись (ст. 87 ТК РФ).

29. Кто должен быть назначен ответственным за организацию обработки персональных данных?

Работодатель должен назначить лицо, ответственное за организацию обработки персональных данных. Как правило, это сотрудник из числа руководства (например, руководитель кадровой службы, начальник отдела IT). Его обязанности и права закрепляются в приказе и должностной инструкции.

30. Что должно содержаться в Положении о защите персональных данных работников?

Положение должно содержать: цели обработки данных; перечень обрабатываемых данных; перечень действий с данными и способы обработки; порядок хранения данных; порядок передачи данных внутри организации и третьим лицам; меры по защите данных; права и обязанности работника в этой сфере; ответственность за нарушение правил обработки.

31. Обязан ли работодатель заключать соглашение о конфиденциальности с работниками, имеющими доступ к ПДн?

Да, работники, получившие доступ к персональным данным других работников в связи с исполнением своих трудовых обязанностей (кадровики, бухгалтеры, системные администраторы), должны быть предупреждены о том, что они обязаны соблюдать режим конфиденциальности. Это условие должно быть закреплено в трудовом договоре или отдельном соглашении (ст. 57 ТК РФ, ст. 88 ТК РФ).

32. Должен ли работодатель вести журнал учета обработки персональных данных?

Федеральный закон №152-ФЗ прямо не обязывает вести такой журнал. Однако его ведение является рекомендуемой практикой для учета фактов обработки, доступа к данным, их передачи, что помогает работодателю исполнить обязанность по обеспечению безопасности и отчетности. Требование о ведении журнала может быть закреплено во внутренних регламентах.

33. Что делать, если работник отказывается предоставлять персональные данные, необходимые для заключения трудового договора?

Если работник отказывается предоставить данные, перечисленные в статье 65 ТК РФ (паспорт, трудовая книжка, СНИЛС, документы воинского учета и др.), работодатель вправе отказать в заключении трудового договора, поскольку предоставление этих документов является обязанностью работника, а их обработка необходима для исполнения работодателем требований закона.

34. Может ли работодатель использовать данные работника для отправки ему поздравлений, подарков?

Да, если такая цель была указана при сборе данных (например, в согласии на обработку) или если это является частью корпоративной культуры и социальной политики, о которой работник был уведомлен. В противном случае для таких целей, не связанных напрямую с трудовой функцией, желательно получать отдельное согласие.

5. Хранение, передача и уничтожение персональных данных

35. Как долго работодатель может хранить персональные данные работника?

Срок хранения персональных данных устанавливается в соответствии с законодательством. После увольнения работника его личное дело и иные документы должны храниться в архиве организации в течение сроков, установленных федеральным законодательством (как правило, 75 лет или 50 лет для некоторых категорий). По истечении сроков хранения данные подлежат уничтожению (ст. 86 ТК РФ).

36. Можно ли передавать персональные данные работника в профсоюз?

Да, работодатель обязан передавать представителям работников (в том числе профсоюзу) необходимую для осуществления их полномочий информацию о персональных данных работников в объеме и порядке, которые установлены ТК РФ, иными федеральными законами, коллективным договором, соглашениями (ст. 88 ТК РФ).

37. Может ли работодатель передавать персональные данные работников в государственные органы (ПФР, ФНС, ФСС)?

Да, работодатель обязан передавать персональные данные работников в государственные органы в случаях, прямо предусмотренных федеральным законом (например, для ведения персонифицированного учета в ПФР, расчета и уплаты налогов в ФНС). Такая передача не требует дополнительного согласия работника.

38. Может ли работодатель передавать персональные данные работника новому работодателю по запросу?

Да, но только с письменного согласия самого работника. Исключение составляют случаи, когда передача предусмотрена федеральным законом. Например, при реорганизации юридического лица передача данных правопреемнику возможна без согласия, но с уведомлением работников.

39. Можно ли размещать фотографии и ФИО работников на корпоративном сайте или в соцсетях?

Да, но для этого необходимо получить отдельное согласие работника, поскольку такая обработка выходит за рамки целей, непосредственно связанных с трудовыми отношениями. В согласии следует указать конкретные цели размещения (например, формирование положительного имиджа компании) и способы использования изображения.

40. Каков порядок передачи персональных данных внутри организации (между отделами)?

Передача должна осуществляться между структурными подразделениями только в объеме, необходимом для выполнения конкретных функций. Доступ к данным должен быть разграничен. Например, отделу кадров доступны все данные, а бухгалтерии — только данные, необходимые для начисления заработной платы. Порядок должен быть прописан в локальном акте.

41. Как правильно уничтожить персональные данные на бумажных носителях?

Уничтожение документов, содержащих персональные данные, должно производиться способом, исключающим возможность их восстановления (шредирование, сжигание). Факт уничтожения оформляется актом, в котором указывается перечень уничтоженных документов, способ и дата уничтожения, состав комиссии.

42. Что делать с персональными данными на электронных носителях при списании старой компьютерной техники?

Перед списанием или передачей техники сторонним лицам необходимо обеспечить безвозвратное уничтожение данных. Это может быть сделано с помощью специальных программ для затирания данных (wipe), физического разрушения накопителя (жесткого диска) или низкоуровневого форматирования. Действия также оформляются актом.

43. Можно ли хранить сканы паспортов и других документов работников в электронном виде?

Да, но только если это необходимо для выполнения трудовых функций и цели обработки. При этом должны быть приняты повышенные меры защиты таких данных (шифрование, разграничение доступа, антивирусная защита), так как они относятся к категории специальных и биометрических (фотография). Работник должен быть уведомлен о таком способе хранения.

6. Техническая и организационная защита данных

44. Что входит в понятие «меры по обеспечению безопасности персональных данных»?

Меры включают в себя: определение угроз безопасности данных; применение организационных и технических мер защиты; оценку эффективности принимаемых мер; учет машинных носителей данных; обнаружение фактов несанкционированного доступа; восстановление данных после инцидентов; установление правил доступа к данным и контроль за их соблюдением (ст. 19 152-ФЗ).

45. Обязан ли работодатель применять средства криптографической защиты информации (СКЗИ)?

Обязанность применения СКЗИ возникает, если это предусмотрено в соответствии с уровнем защищенности персональных данных, который присваивается оператором по результатам моделирования угроз. Для большинства организаций, обрабатывающих данные работников, использование СКЗИ не является безусловным требованием, но может быть рекомендовано для передачи данных по открытым каналам связи.

46. Какие организационные меры защиты должен принять работодатель?

К организационным мерам относятся: назначение ответственного лица; издание локальных актов; ознакомление работников с правилами обработки данных; заключение соглашений о конфиденциальности; разграничение прав доступа к информационным системам; ведение журналов учета; проведение внутреннего контроля и аудита.

47. Какие технические меры защиты необходимо предусмотреть?

Технические меры включают: использование средств антивирусной защиты; применение межсетевых экранов (фаерволлов); системы обнаружения вторжений; резервное копирование данных; парольную защиту учетных записей; автоматическое блокирование сеансов после периода неактивности; шифрование данных при передаче и хранении.

48. Что такое модель угроз безопасности персональных данных и кто ее разрабатывает?

Модель угроз — это документ, описывающий совокупность условий и факторов, создающих опасность несанкционированного доступа к персональным данным при их обработке в информационной системе. Разрабатывается оператором (работодателем) самостоятельно или с привлечением специализированных организаций. На основе модели определяется уровень защищенности данных и необходимые меры защиты.

49. Обязан ли работодатель проводить аттестацию или оценку соответствия информационной системы требованиям безопасности?

Работодатель обязан обеспечить безопасность персональных данных при их обработке. В случаях, предусмотренных Правительством РФ (например, для государственных информационных систем или систем с определенным уровнем защищенности), требуется обязательная аттестация. Для большинства коммерческих организаций достаточно проведения внутренней оценки соответствия и принятия мер, адекватных выявленным угрозам.

50. Как обеспечить защиту данных при использовании облачных сервисов (SaaS) для кадрового учета или бухгалтерии?

При передаче данных облачному провайдеру работодатель остается оператором и несет ответственность. 

Необходимо: 

  • заключить договор, где провайдер будет являться лицом, обрабатывающим данные по поручению оператора (ст. 6 152-ФЗ);
  • проверить, что провайдер обеспечивает достаточный уровень безопасности;
  • внести в локальные акты порядок работы с облачным сервисом;
  • информировать работников о факте такой обработки.

7. Ответственность за нарушение законодательства о персональных данных

51. Какие виды ответственности предусмотрены за нарушение правил обработки персональных данных?

Предусмотрена дисциплинарная, административная, гражданско-правовая и уголовная ответственность. Основной вид ответственности для организаций и должностных лиц — административная (по КоАП РФ). Работник, виновный в разглашении персональных данных, может быть привлечен к дисциплинарной ответственности, вплоть до увольнения (ст. 90 ТК РФ, п. 6 ч. 1 ст. 81 ТК РФ).

52. Какие административные штрафы могут быть наложены на организацию-работодателя?

В соответствии со ст. 13.11 КоАП РФ штрафы могут достигать: за обработку данных без согласия — до 300 тыс. руб. для юрлиц; за невыполнение обязанности по опубликованию политики конфиденциальности — до 200 тыс. руб.; за необеспечение безопасности данных, повлекшее их утечку — до 500 тыс. руб. Штрафы регулярно пересматриваются в сторону увеличения.

53. Может ли работодатель уволить работника за разглашение персональных данных?

Да, разглашение персональных данных другого работника, ставшее известным в связи с исполнением трудовых обязанностей, является грубым нарушением трудовых обязанностей и может служить основанием для увольнения по пункту 6 части 1 статьи 81 ТК РФ (разглашение охраняемой законом тайны). Необходимо соблюсти процедуру увольнения и иметь доказательства нарушения.

54. Кто несет ответственность в случае утечки данных по вине IT-специалиста или кадрового работника?

Перед государственными органами ответственность как оператор несет работодатель (юридическое лицо). Работодатель, в свою очередь, вправе привлечь виновного работника к материальной ответственности в пределах, установленных законом, и к дисциплинарной ответственности.

55. Что считается разглашением персональных данных работника?

Разглашением признается действие или бездействие, в результате которого персональные данные становятся известны третьим лицам, не имеющим законного права доступа к ним, без согласия субъекта данных либо иного законного основания. Например, публикация списка сотрудников с зарплатами, пересылка личных дел по электронной почте случайному адресату, оставление документов в доступном месте.

56. Что делать работодателю в случае утечки (нарушения безопасности) персональных данных?

Необходимо: 

1) Немедленно локализовать угрозу (например, отключить доступ). 

2) Провести внутреннее расследование. 

3) В течение 24 часов с момента обнаружения инцидента сообщить об этом в Роскомнадзор. 

4) Уведомить субъектов ПДн, если нарушение может причинить им вред. 

5) Принять меры по устранению последствий. 

6) При необходимости сообщить в правоохранительные органы.

8. Особые случаи и практические ситуации

57. Можно ли обрабатывать персональные данные работника в выходные дни для срочного кадрового решения?

Да, если такая обработка необходима для неотложных действий в интересах работника или работодателя (например, оформление больничного листа, срочный запрос из государственного органа). Однако это должно быть исключением, а постоянный несанкционированный доступ к данным в нерабочее время может быть расценен как нарушение безопасности.

58. Как обрабатывать данные работника, находящегося в отпуске по уходу за ребенком или на длительном больничном?

Трудовые отношения с таким работником не прерваны, поэтому обработка его данных продолжается в обычном режиме для целей выплаты пособий, учета стажа, планирования кадрового резерва. Специального согласия на продолжение обработки в этот период не требуется, так как цель обработки не изменилась.

59. Нужно ли получать новое согласие при изменении локального акта о защите персональных данных?

Если изменения не затрагивают цели обработки, состав данных и перечень действий с ними, а касаются, например, организационных мер защиты, то нового согласия не требуется. Работников необходимо ознакомить с новой редакцией документа под подпись. Если изменения существенны (например, добавляется новая цель — размещение фото на сайте), потребуется получить дополнительное согласие.

60. Можно ли установить в офисе систему видеонаблюдения и обрабатывать эти данные?

Да, но необходимо: 

1) Уведомить работников о факте видеонаблюдения, его целях (обеспечение безопасности, контроль за производственным процессом) и зонах наблюдения. 

2) Получить их согласие на обработку биометрических персональных данных (изображения лица), если система используется для идентификации. 

3) Исключить установку камер в местах, где ожидается приватность (туалеты, комнаты отдыха).

61. Как быть с данными уволенного работника? Можно ли их сразу удалить?

Немедленно удалить данные нельзя. Работодатель обязан хранить персональные данные уволенного работника в архиве в течение установленных законом сроков (для личного дела — 75 или 50 лет). Доступ к ним должен быть ограничен. После истечения сроков хранения данные подлежат уничтожению в установленном порядке.

62. Должен ли работодатель предоставлять доступ к персональным данным работника его родственникам?

Нет, без прямого указания закона или доверенности от самого работника работодатель не вправе разглашать персональные данные родственникам. Исключение могут составлять экстренные случаи (несчастный случай), когда информация о работнике запрашивается правоохранительными органами или медицинскими учреждениями.

63. Как учитывать персональные данные при реорганизации или ликвидации компании?

При реорганизации (слиянии, присоединении) все права и обязанности по обработке персональных данных переходят к правопреемнику. Сотрудников необходимо уведомить о смене оператора. При ликвидации оператор обязан уничтожить данные или обезличить их после истечения сроков хранения, если иное не предусмотрено федеральным законом.

64. Можно ли вести учет рабочего времени по отпечаткам пальцев?

Да, но это обработка биометрических данных. Необходимо получить отдельное, ясно выраженное письменное согласие работника на такую обработку, за исключением случаев, когда это необходимо в целях защиты государственной безопасности и правопорядка. В согласии должны быть четко указаны цели использования биометрии. Отказ работника не может быть основанием для дисциплинарного взыскания.

65. Какова роль профсоюза в защите персональных данных работников?

Профсоюз, как представитель работников, вправе осуществлять контроль за соблюдением работодателем законодательства о персональных данных, а также выражать мнение при принятии локальных нормативных актов, устанавливающих порядок обработки ПДн (ст. 370 ТК РФ). Работодатель обязан рассматривать представления профсоюза о выявленных нарушениях и сообщать о результатах.

9. Передача данных третьим лицам и трансграничная передача

66. Кто такие «третьи лица» в контексте передачи персональных данных?

Третьи лица — это любые физические или юридические лица, государственные органы, не являющиеся оператором, субъектом данных или лицом, осуществляющим обработку по поручению оператора. Например, банк для перечисления зарплаты, страховая компания для оформления полиса, новый работодатель по запросу.

67. В каких случаях передача данных третьим лицам допускается без согласия работника?

Без согласия передача возможна: 

1) В предусмотренных федеральным законом случаях (например, в ПФР, ФНС, ФСС). 

2) В целях предупреждения угрозы жизни и здоровью. 

3) В рамках процедуры банкротства. 

4) При обработке данных по поручению оператора (аутсорсинг) на основании договора. 

5) В других случаях, прямо установленных законом (например, по запросу суда).

68. Нужно ли заключать отдельный договор при передаче данных на аутсорсинг (например, в расчетный центр)?

Да, с лицом, обрабатывающим данные по поручению оператора, обязательно заключается договор, в котором устанавливаются: цели обработки, обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность данных, а также требования к защите. Оператор (работодатель) остается ответственным перед субъектом данных.

69. Что такое трансграничная передача персональных данных?

Это передача персональных данных на территорию иностранного государства органу власти, иностранному физическому или юридическому лицу (ст. 12 152-ФЗ). Например, передача данных в головной офис международной компании, расположенный за рубежом, или использование зарубежного облачного сервиса.

70. В каких случаях возможна трансграничная передача данных работников?

Трансграничная передача возможна в двух основных случаях: 

1) В страну, обеспечивающую адекватную защиту прав субъектов ПДн (перечень утверждает Роскомнадзор). 

2) В любую страну при наличии письменного согласия субъекта данных, либо если передача необходима для исполнения договора, стороной которого является субъект, или для защиты жизни, здоровья, иных жизненно важных интересов.

71. Нужно ли уведомлять Роскомнадзор о трансграничной передаче данных?

Да, оператор обязан уведомить Роскомнадзор об осуществлении трансграничной передачи данных до начала такой передачи, за исключением случаев, когда передача осуществляется в страны из перечня государств-членов Совета Европы или иных государств, обеспечивающих адекватную защиту, либо на основании международного договора РФ.

10. Банки данных, информационные системы и автоматизированная обработка

72. Что считается информационной системой персональных данных (ИСПДн) работодателя?

ИСПДн — это совокупность содержащихся в базах данных персональных данных работников и информационных технологий, технических средств, обеспечивающих их обработку. К ИСПДн могут относиться: кадровая система (1С:ЗУП и аналоги), система электронного документооборота, корпоративная почта, файловые серверы с личными делами, любая база данных, где систематизированы данные сотрудников.

73. Обязан ли работодатель регистрировать ИСПДн в Роскомнадзоре?

Регистрации подлежат только информационные системы, созданные до 1 июля 2011 года в государственных или муниципальных целях. Коммерческие организации, обрабатывающие данные работников, не обязаны регистрировать свои ИСПДн. Однако они обязаны уведомлять Роскомнадзор об обработке, если для этого нет исключений (ст. 22 152-ФЗ).

74. Какие требования предъявляются к автоматизированной обработке персональных данных?

Требования включают: ведение журнала обращений к системе; использование средств защиты информации (пароли, шифрование); разграничение прав доступа пользователей; резервное копирование; защиту от вредоносного программного обеспечения; контроль за целостностью и сохранностью данных.

75. Можно ли использовать корпоративную электронную почту для пересылки персональных данных?

Да, но с соблюдением мер безопасности. Рекомендуется: использовать защищенные каналы связи (VPN, шифрование писем); не указывать в теме письма ФИО или иную прямую идентифицирующую информацию; не прикреплять сканы паспортов и других конфиденциальных документов без крайней необходимости; применять пароли к архивам с данными. Порядок должен быть закреплен локально.

76. Как обеспечить безопасность данных при использовании мессенджеров (WhatsApp, Telegram) для рабочих вопросов?

Использование публичных мессенджеров для передачи конфиденциальных персональных данных не рекомендуется. Если такая необходимость возникает, следует: применять мессенджеры с сквозным шифрованием; получить согласие работника на такой способ коммуникации; не хранить историю переписки с данными на устройствах неограниченного круга лиц; четко регламентировать порядок в локальном акте.

77. Кто имеет право доступа к автоматизированной ИСПДн внутри организации?

Доступ имеют только специально уполномоченные сотрудники, чьи должностные обязанности требуют работы с данными (руководители, специалисты по кадрам, бухгалтеры, системные администраторы для технического обслуживания). Для каждого пользователя должны быть индивидуальные учетные записи с минимально необходимым набором прав (принцип минимальных привилегий).

78. Что делать, если работник отказывается от использования электронной подписи или цифровых профилей, связанных с его данными?

Работодатель не может принуждать работника к использованию электронной подписи, если это не было изначальным условием трудового договора, связанным с характером работы. В этом случае все документооборот с работником должен вестись на бумажных носителях с соблюдением правил хранения. Цели обработки данных при этом не меняются.

11. Проверки Роскомнадзора и внутренний контроль

79. Вправе ли Роскомнадзор проводить проверки работодателя по вопросам обработки ПДн?

Да, Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных и в рамках контрольно-надзорной деятельности проводит плановые и внеплановые проверки соблюдения требований 152-ФЗ. Основания и порядок проведения проверок регулируются Федеральным законом от 31.07.2020 № 248-ФЗ "О государственном контроле (надзоре)".

80. Какие документы чаще всего запрашивают проверяющие?

Проверяющие могут запросить: уведомление об обработке ПДн (или документ, обосновывающий исключение); политику конфиденциальности; локальный акт о защите ПДн; приказ о назначении ответственного; согласия субъектов на обработку; документы, подтверждающие меры безопасности (модель угроз, акты, журналы); образцы документов, с которыми знакомят работников.

81. Что такое внутренний контроль за обработкой персональных данных?

Это деятельность оператора (работодателя) по проверке соответствия обработки персональных данных требованиям 152-ФЗ и принятым локальным актам. Может включать периодические аудиты, проверки соблюдения регламентов доступа, анализ журналов событий, оценку эффективности мер защиты. Проводится назначенным ответственным лицом или внутренней аудиторской службой.

82. Как часто нужно проводить внутренние проверки (аудиты) соблюдения требований по защите ПДн?

Периодичность законодательно не установлена. Рекомендуется проводить такие проверки не реже одного раза в год, а также при существенных изменениях в процессах обработки, внедрении новых информационных систем, после инцидентов безопасности или по требованию руководства. Результаты оформляются отчетом или актом.

83. Какие последствия могут быть для работодателя по результатам проверки Роскомнадзора?

Последствия могут включать: вынесение предписания об устранении выявленных нарушений; составление протокола об административном правонарушении с последующим наложением штрафа; приостановление обработки персональных данных до устранения нарушений (в случае серьезной угрозы правам субъектов); передачу материалов в правоохранительные органы при наличии признаков состава преступления.

84. Можно ли обжаловать предписание или постановление Роскомнадзора?

Да, действия (бездействие) и решения Роскомнадзора могут быть обжалованы в вышестоящий орган (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций) или в суд в порядке, установленном административным и гражданским процессуальным законодательством.

12. Специфические категории работников и данные

85. Существуют ли особенности обработки персональных данных несовершеннолетних работников?

Да, при обработке данных работников, не достигших 18 лет, необходимо учитывать общие требования к защите прав детей. Согласие на обработку данных несовершеннолетнего в возрасте от 14 до 18 лет, как правило, дает он сам. Однако для некоторых целей может потребоваться согласие законного представителя. Работодатель должен проявлять повышенную осторожность при обработке и хранении таких данных.

86. Как обрабатывать данные работника-иностранного гражданина или лица без гражданства?

Общие требования 152-ФЗ и ТК РФ применяются ко всем работникам, независимо от гражданства. Однако состав обрабатываемых документов будет иным (паспорт иностранного гражданина, патент, разрешение на работу, миграционная карта). Важно обеспечить корректное хранение и передачу этих данных в органы МВД в установленных законом случаях.

87. Требуется ли особое обращение с данными о состоянии здоровья работника (медицинские справки, заключения)?

Да, данные о состоянии здоровья относятся к специальным категориям персональных данных. Их обработка допускается только с письменного согласия работника, за исключением случаев, когда это необходимо для определения пригодности работника к поручаемой работе, профилактики заболеваний, ухода за больным. Они должны храниться отдельно, с максимальными мерами защиты.

88. Можно ли вести базу данных с фотографиями сотрудников для пропускного режима?

Да, но фотография является биометрическим персональным данным. Для создания и использования такой базы необходимо получить отдельное, информированное, письменное согласие каждого работника, за исключением случаев, когда это требуется для обеспечения государственной безопасности и правопорядка. Цель (пропускной режим) должна быть четко указана в согласии.

89. Как обрабатывать данные работников, занимающих должности, связанные с государственной тайной?

Обработка данных таких работников осуществляется с соблюдением требований не только 152-ФЗ, но и законодательства о государственной тайне (Закона РФ "О государственной тайне"). Могут устанавливаться дополнительные ограничения и меры защиты. Работники подлежат специальной проверке, данные о которой также обрабатываются конфиденциально.

90. Допускается ли сбор и обработка данных о членах семьи работника?

Данные о членах семьи работника (супруг(а), дети, иждивенцы) обрабатываются только в случаях, прямо предусмотренных трудовым законодательством, например, для предоставления стандартных налоговых вычетов, отпуска по уходу за ребенком, назначения пособий. Сбор таких данных должен быть обоснован, а их объем — минимально необходимым. Согласие членов семьи, как правило, не требуется, так как обработка осуществляется в интересах работника для реализации его прав.

13. Трудовые договоры, должностные инструкции и кадровый документооборот

91. Что должно быть отражено в трудовом договоре относительно персональных данных?

В трудовом договоре может быть указано, что работник ознакомлен с локальным актом, устанавливающим порядок обработки ПДн, и обязуется его соблюдать. Для работников, которые в силу должности будут иметь доступ к ПДн других лиц, в договор включается условие о неразглашении конфиденциальной информации (персональных данных) и об ответственности за нарушение этого обязательства (ст. 57 ТК РФ).

92. Какие положения о защите ПДн включать в должностные инструкции?

В должностные инструкции работников, имеющих доступ к ПДн (кадровиков, бухгалтеров, руководителей), включаются: обязанность по обработке ПДн в строгом соответствии с законодательством и локальными актами; обязанность не разглашать ставшие известными сведения; обязанность принимать меры по защите данных; ответственность за нарушение установленных правил.

93. Как правильно оформлять личные дела и карточки работников?

Личные дела и карточки (форма Т-2) ведутся в соответствии с установленными требованиями. Доступ к ним должен быть ограничен. Места хранения (шкафы, комнаты) должны быть оборудованы средствами защиты (замки, сигнализация). Электронные версии должны быть защищены паролями и шифрованием. Порядок ведения и доступа регламентируется локальным актом.

94. Можно ли требовать от работника предоставления данных, не указанных в статье 65 ТК РФ?

Требовать можно только данные, необходимость которых обусловлена спецификой работы и прямо предусмотрена федеральным законом (например, медицинская книжка для работников общепита, справка об отсутствии судимости для педагогов). Запрос иных данных (например, ИНН, номер банковской карты для зарплатного проекта) возможен только с согласия работника.

95. Как фиксировать факт ознакомления работника с локальным актом о защите ПДн?

Факт ознакомления фиксируется листом ознакомления, который является неотъемлемой частью локального акта, либо отдельным журналом ознакомления. Работник должен поставить личную подпись и дату. Желательно проводить повторное ознакомление при внесении существенных изменений в локальный акт.

14. Заключительные и ситуационные вопросы

96. Изменяется ли объем персональных данных при переводе работника на другую должность?

Цели обработки данных (трудовые отношения) остаются прежними, поэтому объем данных, как правило, не меняется кардинально. Могут обновиться данные об образовании, квалификации, размере оклада. Если новая должность предполагает доступ к государственной тайне или требует специальных допусков, может потребоваться сбор дополнительных данных с согласия работника.

97. Кто несет расходы на реализацию мер по защите персональных данных?

Все расходы, связанные с выполнением обязанностей оператора (разработка документов, приобретение средств защиты, обучение сотрудников, проведение аудитов), несет работодатель как оператор персональных данных. Эти расходы не могут быть возложены на работников.

98. Что важнее: локальный акт работодателя или письменное согласие работника?

Это взаимосвязанные документы. Локальный акт устанавливает общий порядок обработки в организации. Согласие работника является правовым основанием для обработки его персональных данных в рамках этого порядка. При противоречии между положениями локального акта и законом приоритет имеет закон. Согласие не может отменять гарантии, установленные законом или локальным актом.

99. Где можно ознакомиться с полным текстом Главы 14 Трудового кодекса РФ?

Полный текст Главы 14 "Защита персональных данных работника" Трудового кодекса Российской Федерации доступен в актуальной редакции в официальных источниках, на порталах правовой информации, а также в профессиональных справочно-правовых системах.

100. Каков первый шаг для работодателя для приведения обработки ПДн в соответствие с законом?

Первым и ключевым шагом является издание локального нормативного акта (Положения) о защите персональных данных работников, назначение ответственного лица и организация ознакомления всех работников с этим документом под подпись. Параллельно необходимо проанализировать процессы обработки данных, выявить риски и начать внедрение необходимых организационных и технических мер защиты.