Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Персональные данные работников (М. Алексеева, "Учреждения культуры и искусства: бухгалтерский учет и налогообложение", N 9, сентябрь 2014 г.)
-
Персональные данные работников (М. Алексеева, "Учреждения культуры и искусства: бухгалтерский учет и налогообложение", N 9, сентябрь 2014 г.)
-
Нормативная база
-
Понятие и состав персональных данных
-
Обработка персональных данных
-
Согласие работника на обработку персональных данных
-
Хранение и защита персональных данных
-
Ответственность за нарушение норм законодательства о персональных данных
Персональные данные работников
Персональные данные работников являются конфиденциальной информацией. То есть лица, получившие доступ к таким данным, не должны допускать их распространения без согласия работника или иного законного основания. Как правило, сбором и обработкой персональных данных занимаются работники кадровых служб и бухгалтерии, именно на них возлагается обязанность по защите сведений от неправомерного использования или утраты. О том, что нужно учесть при работе с персональными данными работников, расскажем в статье.
Нормативная база
Положения о защите частной жизни закреплены в Конституции РФ, которая предусматривает, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. 23, 24 Конституции РФ). В развитие данной нормы разработан ряд законодательных и иных нормативных правовых актов РФ, устанавливающих порядок получения, обработки, защиты и хранения персональных данных работников. Основными из них являются:
- ТК РФ (гл. 14 "Защита персональных данных работника");
- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
- Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Эти документы можно взять за основу при разработке локального нормативного акта (инструкции, положения) о порядке работы с персональными данными работников, который должен быть утвержден в каждом учреждении, и представлен на ознакомление всем работникам под роспись.
Понятие и состав персональных данных
Персональные данные работников - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона N 152-ФЗ). Другими словами, это сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
Поскольку законодательство в области персональных данных не содержит четкого перечня сведений и информации, которые относятся к персональным данным работников, полагаем, что к таковым можно отнести:
- фамилию, имя, отчество (Ф.И.О.);
- дату рождения;
- место рождения;
- гражданство;
- образование;
- специальность, профессию;
- стаж работы;
- состояние в браке;
- состав семьи;
- паспортные данные;
- адрес места жительства;
- номер телефона;
- наличие судимостей;
- сведения о воинском учете;
- содержание трудового договора;
- сведения о доходах, об имуществе и обязательствах имущественного характера;
- документы, подтверждающие право на определенные гарантии, компенсации и льготы, установленные трудовым законодательством;
- подлинники и копии приказов по личному составу;
- личные дела, личные карточки, трудовые книжки;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации, переподготовке, аттестации;
- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии.
В зависимости от направления деятельности учреждения этот перечень можно дополнить и закрепить его соответствующим локальным нормативным актом о персональных данных.
Обработка персональных данных
Учреждения самостоятельно или совместно с другими лицами выступают в роли операторов, осуществляющих обработку персональных данных, под которой согласно п. 3 ст. 3 Федерального закона N 152-ФЗ понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
- сбор, запись, систематизацию;
- накопление, хранение;
- уточнение (обновление, изменение), извлечение;
- использование, передачу (распространение, предоставление, доступ);
- обезличивание, блокирование, удаление, уничтожение персональных данных.
Принципы и условия обработки персональных данных закреплены в гл. 2 Федерального закона N 152-ФЗ, в частности:
- обработка персональных данных должна осуществляться с согласия субъекта персональных данных;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям их обработки;
- персональные данные не должны раскрываться операторами (иными лицами, получившими доступ к таким данным) третьим лицам и не могут быть распространены без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
- обрабатываемые персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели их обработки;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено федеральным законом.
Требования, которые должны быть соблюдены при обработке персональных данных работников, содержатся в ст. 86 ТК РФ. Они следующие:
- обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
- все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
- работодатель не имеет права получать и обрабатывать сведения о работнике, касающиеся его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, и сведения о его членстве в общественных объединениях или профсоюзной деятельности работника;
- при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Согласие работника на обработку персональных данных
Важно помнить, что обработка персональных данных возможна только с согласия работника, которое целесообразно оформить в письменном виде (ст. 6, 9 Федерального закона N 152-ФЗ). Как сказано в п. 5 Разъяснений Роскомнадзора*(1), согласие на обработку данных должно быть конкретным и информированным, то есть содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Оформлять его можно как в виде отдельного документа, так и путем закрепления в тексте трудового договора. В обоих случаях согласие должно отвечать требованиям, предъявляемым п. 4 ст. 9 Федерального закона N 152-ФЗ.
В случае смерти работника согласие на обработку его персональных данных дают его наследники, если такое согласие не было дано работником при жизни.
Обратите внимание! С согласия работника учреждение вправе поручить обработку персональных данных другому лицу (физическому или юридическому) на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (п. 3 ст. 6 Федерального закона N 152-ФЗ).
Согласие работника на обработку персональных данных не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
- обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
- обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Кроме того, по мнению Роскомнадзора, изложенному в Разъяснениях, обработка персональных данных работника не требует получения соответствующего согласия в случаях, когда:
1) объем обрабатываемых работодателем персональных данных не превышает установленного перечня (который должен быть закреплен соответствующим локальным нормативным актом учреждения о персональных данных) и соответствует целям обработки, предусмотренным трудовым законодательством;
2) возможность обработки персональных данных работника без его согласия предусмотрена коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися обычно приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ;
3) обязанность по обработке предусмотрена законодательством, в том числе для опубликования и размещения персональных данных работников в Интернете;
4) обработка персональных данных близких родственников работника осуществляется в объеме, предусмотренном личной карточкой (форма Т-2, утвержденная Постановлением Госкомстата РФ от 05.01.2004 N 1), либо в случаях получения алиментов, оформления допуска к государственной тайне, оформления социальных выплат и т.д.;
5) персональные данные работника передаются третьим лицам, если это необходимо в целях предупреждения угрозы его жизни и здоровью, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами. К примеру, в случае передачи персональных данных работников в ФСС, ПФР, налоговые органы, профсоюзные организации, военные комиссариаты;
6) обработка персональных данных работника связана с выполнением должностных обязанностей, в том числе при командировании работников;
7) обработка персональных данных работника проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя;
8) персональные данные работника передаются кредитным организациям, открывающим и обслуживающим платежные карты для начисления зарплаты, если:
а) договор на выпуск банковской карты заключался напрямую с работником и в тексте договора были предусмотрены положения о передаче работодателем персональных данных работника;
б) у работодателя имеется доверенность на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующее обслуживание;
в) соответствующая форма и система оплаты труда прописаны в коллективном договоре (ст. 41 ТК РФ).
9) обработка персональных данных уволенных работников осуществляется в целях ведения бухгалтерского и налогового учета.
Хранение и защита персональных данных
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов. Следовательно, соответствующие нормы необходимо закрепить в локальном нормативном акте учреждения о персональных данных, где нужно указать в том числе форму (на бумажном носителе или в электронном виде), сроки и место хранения персональных данных.
Сроки хранения документов, содержащих персональные данные работников, определяются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным Приказом Минкультуры РФ от 25.08.2010 N 558. Руководствуясь положениями этого перечня, приведем сроки хранения некоторых документов, которые имеют отношение к персональным данным:
- личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов, работников, имеющих государственные и иные звания, премии, награды, степени и звания - хранятся постоянно;
- личные дела иных работников - 75 лет;
- подлинные личные документы (трудовые книжки, дипломы, аттестаты, удостоверения, свидетельства) - до востребования (невостребованные - 75 лет);
- трудовые договоры (служебные контракты), трудовые соглашения, договоры подряда, не вошедшие в состав личных дел - 75 лет;
- личные карточки работников - 75 лет;
- расчетные (расчетно-платежные) ведомости и документы к ним, расчетные листы на выдачу заработной платы, пособий, гонораров, материальной помощи и других выплат - 5 лет, при отсутствии лицевых счетов - 75 лет;
- исполнительные листы - до минования надобности, но не менее 5 лет;
- журналы регистрации исполнительных листов - 5 лет;
- заявления на получение стандартных налоговых вычетов по НДФЛ - 5 лет при условии проведения проверки (ревизии);
- справки по форме 2-НДФЛ - 5 лет;
- индивидуальные сведения о трудовом стаже, заработке (вознаграждении), доходе и начисленных страховых взносах застрахованного лица - 75 лет.
Пунктом 7 ст. 86 ТК РФ на работодателя возложена обязанность обеспечивать защиту персональных данных работников от неправомерного использования или утраты. Для осуществления такой защиты он должен принимать определенные меры, направленные на защиту персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения персональных данных. К ним, в частности, относятся (ст. 18.1 ТК РФ):
1) назначение учреждением ответственного за организацию обработки персональных данных;
2) издание учреждением документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 ТК РФ;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения трудового законодательства, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ТК РФ;
6) ознакомление работников учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Ответственность за нарушение норм законодательства о персональных данных
Лица, виновные в нарушении норм законодательства о персональных данных работника, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности, предусмотренной законодательством РФ (ст. 90 ТК РФ).
Норма | Нарушение | Санкция |
Дисциплинарная ответственность | ||
Подпункт "в" п. 6 ст. 81 ТК РФ | Разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника | Расторжение трудового договора с работодателем |
Статья 192 ТК РФ | Замечание, выговор, увольнение | |
Материальная ответственность | ||
Пункт 7 ст. 243 ТК РФ | Разглашение сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами | Возложение ответственности в полном размере причиненного ущерба |
Гражданско-правовая ответственность | ||
Статья 151 ГК РФ | Причинение морального вреда гражданину (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину нематериальные блага, а также в других случаях, предусмотренных законом | Возложение судом обязанности выплатить денежную компенсацию за причинение вреда |
Пункт 1 ст. 1064 ГК РФ | Причинение вреда личности или имуществу гражданина, а также вреда имуществу юридического лица | Возмещение вреда в полном объеме |
Административная ответственность | ||
Статья 5.27 КоАП РФ | Отсутствие в учреждении локального нормативного акта (инструкции, положения) о порядке работы с персональными данными работников (квалифицируется как нарушение трудового законодательства) | Наложение штрафа на должностных лиц - от 1000 до 5 000 руб.; на юридических лиц - от 30 000 до 50 000 руб. или административное приостановление деятельности на срок до 90 суток |
Статья 13.11 КоАП РФ | Несоблюдение установленного законом порядка сбора, хранения, использования или распространения персональных данных | Предупреждение или наложение штрафа на должностных лиц - от 500 до 1000 руб.; на юридических лиц - от 5 000 до 10 000 руб. |
Пункт 2 ст. 13.12 КоАП РФ | Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну) | Наложение штрафа на должностных лиц - от 2 500 до 3 000 руб.; на юридических лиц - от 20 000 до 25 000 руб. с конфискацией несертифицированных средств защиты информации или без таковой |
Пункт 4 ст. 13.12 КоАП РФ | Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну | Наложение штрафа на должностных лиц - от 3 000 до 4 000 руб.; на юридических лиц - от 20 000 до 30 000 руб. с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой |
Статья 13.14 КоАП РФ | Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей | Наложение штрафа на должностных лиц от 4 000 до 5 000 руб. |
Уголовная ответственность | ||
Пункт 2 ст. 137 УК РФ | Незаконное распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, совершенное лицом с использованием своего служебного положения | Наложение штрафа от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода за период от одного года до двух лет |
Лишение права занимать определенные должности или заниматься деятельностью на срок от двух до пяти лет | ||
Принудительные работы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового | ||
Арест на срок до шести месяцев | ||
Лишение свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет | ||
* * *
Работа с персональными данными работников подразумевает соблюдение определенных правил, за нарушение которых предусмотрена ответственность. Поэтому в соответствующем локальном нормативном акте учреждения необходимо закрепить порядок получения, обработки, хранения, передачи и любого другого использования персональных данных. Кроме того, нужно назначить лиц, ответственных за организацию обработки персональных данных, и не стоит забывать, что обработка персональных данных требует согласия работников.
М. Алексеева,
эксперт журнала "Учреждения культуры
и искусства: бухгалтерский учет и налогообложение"
"Учреждения культуры и искусства: бухгалтерский учет и налогообложение", N 9, сентябрь 2014 г.
-------------------------------------------------------------------------
*(1) "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве".
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журналы издательства "Аюдар Инфо"
На страницах журналов вы всегда найдете комментарии и рекомендации экспертов, ответы на актуальные вопросы, возникающие в процессе вашей работы. Авторы - это аудиторы-практики, налоговые консультанты и работники налоговых служб, они всегда подскажут вам, как правильно строить взаимоотношения с налоговой инспекцией, оптимизировать налоги законным путем, помогут разобраться в новом нормативном акте, применить его на практике и избежать ошибок в работе.
Издатель: ООО "Аюдар Инфо"