Обработка персональных данных сотрудников: документы и правила

Любой работодатель обрабатывает широкий перечень персональных данных работников. Это ФИО, паспортные данные, ИНН, СНИЛС, адрес регистрации и проживания, номер телефона, сведения об образовании и квалификации.

Трудовой кодекс РФ (глава 14) устанавливает, что обработка ПДн работника ограничивается целями соблюдения законодательства, содействия в трудоустройстве и обеспечения безопасности. Работодатель не вправе собирать данные о политических и религиозных убеждениях сотрудника.

Помимо базовых данных организация обрабатывает сведения о заработной плате, банковские реквизиты, информацию о больничных, отпусках и командировках. Все эти категории требуют правового основания для обработки.

Для законной обработки ПДн работников организация обязана иметь ряд локальных нормативных актов. Ключевые из них: Политика обработки персональных данных, Положение об обработке ПДн работников, Приказ о назначении ответственного за обработку ПДн.

Также необходимо утвердить перечень лиц, допущенных к обработке персональных данных, и подписать с каждым из них обязательство о неразглашении. Все сотрудники отдела кадров должны быть ознакомлены с этими документами под подпись.

Дополнительно готовятся: журнал учёта обращений субъектов ПДн, инструкция по обработке персональных данных без средств автоматизации и акт определения уровня защищённости ИСПДн.

Статья 6 закона 152-ФЗ позволяет обрабатывать ПДн без согласия, если обработка необходима для исполнения договора, стороной которого является субъект. Трудовой договор является таким основанием для большинства кадровых операций.

Однако согласие обязательно в случаях: передачи данных третьим лицам (банку для зарплатного проекта, страховой компании для ДМС), обработки биометрических данных, распространения ПДн (размещение фото на сайте компании).

Согласие оформляется в письменной форме и должно содержать все реквизиты, перечисленные в ч. 4 ст. 9 закона 152-ФЗ: цель обработки, перечень данных, перечень действий, срок действия согласия и порядок его отзыва.

Работодатель нередко собирает данные о членах семьи работника: для оформления налоговых вычетов, предоставления путёвок, выплаты материальной помощи. Родственники не являются стороной трудового договора, поэтому для обработки их данных требуется отдельное правовое основание.

На практике работодатель получает письменное согласие от самого работника на обработку данных его близких родственников. Роскомнадзор рекомендует получать согласие непосредственно от субъекта ПДн, то есть от самого родственника, однако допускает и согласие через работника при наличии доверенности или прямого указания в согласии.

Личные дела, трудовые книжки и иные документы с ПДн работников хранятся в запираемых шкафах или сейфах. Доступ ограничивается перечнем уполномоченных лиц. Электронные базы данных защищаются средствами разграничения доступа, антивирусной защиты и резервного копирования.

Сроки хранения кадровых документов установлены Приказом Росархива от 20.12.2019 N 236. Личные карточки работников хранятся 50 лет (для уволенных после 2003 года) или 75 лет. По истечении сроков документы подлежат уничтожению с составлением акта.

Уровень защищённости ИСПДн кадрового учёта определяется в соответствии с ПП РФ N 1119. Для большинства компаний это третий или четвёртый уровень.

С 2024 года штрафы за нарушения в области ПДн существенно увеличены. Обработка без правового основания или без согласия влечёт штраф для юридических лиц до 150 000 рублей (повторно — до 500 000 рублей). За утечку персональных данных предусмотрены оборотные штрафы.

Кроме административной ответственности возможна и уголовная — по ст. 137 УК РФ за незаконное собирание и распространение сведений о частной жизни. Работник также вправе требовать компенсации морального вреда через суд.

Проверки Роскомнадзора могут быть как плановыми, так и внеплановыми — по жалобе работника. Наличие полного комплекта документов снижает риск привлечения к ответственности.