Содержание
Если у вас есть сотрудники, вы – оператор персональных данных. А значит, отвечаете за безопасность личной информации нанятых физических лиц. Прежде всего нужно разработать локальный нормативный акт, устанавливающий правила обработки таких данных. Расскажем, как это сделать.
Главный регулирующий закон в рассматриваемой сфере – закон «О персональных данных» № 153-ФЗ от 27.07.2006. Из статьи 3 этого документа следует:
Примечание. ПД не обязательно указывают на человека напрямую. Например, если в отношении работника небольшой компании написать «бухгалтер, 45 лет, живёт на улице Ленина» – скорее всего, все поймут, о ком речь, хотя имя человека не сообщалось.
Может показаться, что обработка данных – это что-то сложное, связанное с компьютерами. На самом деле это любые действия с информацией о человеке. Например, рассмотрение документов при оформлении на работу, внесение данных в кадровую программу, передача информации в налоговую или банк для выплаты зарплаты и многое другое.
Важно! Закон обязывает компании соблюдать требования при работе с персональными данными как работников, так и других физлиц, например, покупателей и контрагентов. В этой публикации мы рассмотрим ЛНА, который относится только к сотрудникам, поскольку это касается любого работодателя.
Обязанность разработать и утвердить Положение о работе с персональными данными нанятых физлиц следует из пп. 2 п. 1 ст. 18.1 закона № 153-ФЗ, а основные требования к работе с ними изложены в ст. 86 ТК РФ.
В каждой организации должен быть человек, отвечающий за порядок обработки ПД и подчиняющийся непосредственно руководителю. Это может быть специалист по кадрам, заместитель директора или любой другой сотрудник, уполномоченный на это приказом руководителя.
Перед разработкой Положения о работе с персональными данными важно понимать, что можно делать с ПД, и с какими именно. Вот главные правила:
При работе с персональными данными работников не требуется их согласие только в случаях, если без этого работодатель не может реализовать свои обязанности. Либо если без этого невозможно выполнить условия договора, заключенного между компанией и нанятым физлицом. Например, работодатель должен передавать в ФНС личные данные работника, включая дату рождения, реквизиты паспорта и другие. Это необходимо для целей страхования. Или секретарь оформляет билет на поезд сотруднику, который направлен в командировку, и предоставляет его ФИО и паспортные данные в РЖД.
Важно! В остальных случаях, то есть когда обработка данных не связана с обязанностями компании или договором между сторонами, ее можно проводить только с согласия сотрудника. Например, если бухгалтерия или кадровое сопровождение передается на аутсорсинг.
При составлении любого ЛНА проще руководствоваться каким-либо шаблоном, чем разрабатывать все «с нуля». Законодатели не утвердили типовой формы документа в сфере обработки ПД сотрудников, однако на сайтах региональных управлений Роскомнадзора встречается примерная форма Положения. И хотя она не первой свежести, все же можно в 2024-2025 годах взять ее за базовый образец. Большинство вариантов ЛНА от частных компаний, которые можно найти в интернете, по своей структуре схожи с этим примерным Положением.
Этот типовой вариант нужно подкорректировать под свой случай. Что-то, скорее всего, придется убрать. Например, в тексте есть упоминание о том, что на работника заводится карточка Т-2, но сейчас вести ее работодатели не обязаны. И если карточка на практике не заводится, упоминание о ней нужно убрать. То же самое касается и используемого ПО.
Рекомендуется добавить в документ о порядке работы с персональными данными конкретику, связанную с вашей компанией. А именно, указать структурные подразделения и должностных лиц, обладающих доступом к ПД, а также типы сведений, к которым он предоставляется. Это зависит от того, для чего нужны данные.
В таблице ниже приведем конкретные примеры, чтобы было понятно, о чем речь.
| Подразделение компании | Примеры данных, к которым может понадобиться доступ |
|---|---|
| Кадровая служба
| ФИО, должность, ИНН, СНИЛС, дата рождения, реквизиты паспорта и документов воинского учета (если есть), данные диплома или документа, подтверждающего образование, квалификацию, сведения о трудовой деятельности и другое |
| Бухгалтерия | ФИО, должность, ИНН, СНИЛС, стаж работы (для расчета больничного), банковские реквизиты (для перечисления выплат), сведения о детях (для стандартного вычета) и другое |
| Охрана труда | ФИО, должность, сведения о здоровье |
| Руководители подразделений | ФИО, должность, сведения об образовании и квалификации – в отношении лиц, которые им подчиняются |
| Секретариат | ФИО, должность, паспорт, иные данные в зависимости от полномочий секретаря |
| Личные помощники | ФИО, должность, адрес, дата рождения, паспорт, сведения о семье и другая информация – в зависимости от обязанностей помощника |
| Служба безопасности | ФИО, должность, паспортные данные, адрес |
| Бюро пропусков | ФИО, должность, часто фотография* |
| Любой сотрудник компании | ФИО, должность, иногда – дата рождения (если в компании принято поздравлять коллег) |
| IT-специалист / отдел | Все сведения, которые хранятся в цифровом виде |
*Фотография – это биометрические персональные данные. В соответствии с п.1 ст. 11 закона 153-ФЗ, обрабатывать их можно только согласия человека в письменной форме. Так что если хотите сделать пропуски с фото или разместить изображение работников на сайте, обязательно возьмите с них письменное согласие на это.
Важно! Составляя списки должностей / подразделений и типов ПД, которые они могут обрабатывать, помните, что собирать нужно лишь необходимые данные.
Обычно в Положении о ПД выделяют такие блоки:
В качестве приложений к Положению можно разработать формы согласия работника:
Когда ЛНА готов, издайте приказ об утверждении Положения о работе с персональными данными сотрудников. Форма документа свободная. В приказе руководитель в целях исполнения ТК РФ и закона № 153-ФЗ утверждает Положение, распоряжается ввести его в действие с указанной даты, а также ознакомить с ним всех сотрудников. Изменения вносятся в документ в таком же порядке.
Итак, мы рассказали про Положение о порядке работы с ПД работников. Этот документ должен четко определять, кто и что может делать с личной информацией физлиц. Но мало разработать ЛНА – его нужно соблюдать. За несоблюдение требований к защите персональных данных в ст. 13.11 КоАП прописаны штрафы, которые для организаций и ИП исчисляются десятками, а в отдельных случаях и сотнями тысяч рублей. Помимо этого, предусмотрены штрафы и для должностных лиц.