Персональные данные сотрудников: что важно знать кадровику

Из этой статьи вы узнаете: какие обязанности возложены на работодателя, у которого хранятся персональные данные его сотрудников, и что ему грозит в случае утечки этой информации.

Что можно сделать на практике. Пользуясь нашей консультацией, разработать и внедрить на предприятии ряд документов, касающихся защиты персональных данных работников предприятия.

Нормативная база

С 1 января 2014 года для большинства субъектов хозяйствования работа с персональными данными физлиц существенно упростилась – благодаря изменениям, внесенным в законодательство. Тем не менее требования о защите персональных данных остались. Их несоблюдение грозит довольно серьезными санкциями. В консультации мы рассмотрим, как работодатель должен «обращаться» с персональными данными наемных работников.

Какими документами следует руководствоваться при работе с персональными данными сотрудников предприятия?

Главный документ – это Закон от 01.06.10 г. № 2297-VI «О защите персональных данных» (далее – Закон № 2297). Также надо учитывать требования нескольких документов, утвержденных Уполномоченным Верховной Рады по правам человека (далее – Уполномоченный) приказом от 08.01.14 г. № 1/02-14 (далее – Приказ № 1/02-14), в частности Типового порядка обработки персональных данных (далее – Типовой порядок).

Также рекомендуем вам обратить внимание:

• на разъяснения Уполномоченного от 08.01.14 г. к документам, утвержденным Приказом № 1/02-14;
• письмо Уполномоченного от 03.03.14 г. № 2/9-227067.14-1/НД-129 (далее – Письмо № 129).

Напомним, что с января 2014 года все полномочия по контролю в сфере защиты персональных данных переданы Уполномоченному. А раньше вопросами защиты персональных данных занималась Государственная служба по вопросам защиты персональных данных, которая теперь ликвидирована (постановление КМУ от 10.09.14 г. № 442).

Что считается обработкой персональных данных?

В ст. 2 Закона № 2297 сказано, что это любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, восстановление, использование и распространение (реализация, передача), обез-личивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем. Исходя из этого определения можно заключить, что при выполнении функций работодателя также происходит обработка персональных данных наемных работников.

Действия работодателя

Рассмотрим, какие требования существуют в сфере защиты персональных данных, и расскажем, что именно обязаны делать работодатели, а чего они могут и не делать.

Должен ли работодатель получать разрешение сотрудника на обработку его персональных данных?

На сегодня нет необходимости получать такое разрешение, если работодатель использует персональные данные работников для выполнения своих обязанностей в сфере трудовых правоотношений и обеспечивает защиту таких данных (п. 2 ч. 2 ст. 7, п. 5 ч. 1 ст. 11 Закона № 2297).

В частности, работодатель обязан начислять и вы-плачивать зарплату работникам, начислять на зарплату и удерживать из нее налоги и другие обязательные платежи, составлять и подавать обязательную отчетность, в том числе и в службу занятости. При этом он использует персональные данные работников (фамилия, имя-отчество, должность, семейное положение, наличие детей, их возраст, в определенных случаях – дата рождения самого работника).

Однако учтите, что необходимо получать письменное согласие сотрудника на обработку его персональных данных, касающихся (ч. 1 и п. 1 ч. 2 ст. 7 Закона № 2297):

• расового или этнического происхождения;
• политических, религиозных или мировоззренческих убеждений;
• членства в политических партиях и профессиональных союзах;
• привлечения к уголовной ответственности;
• состояния здоровья, половой жизни, биометрических или генетических данных.

Однако при обычном выполнении функций работодателя нет нужды в сборе и обработке таких сведений.

Должен ли работодатель регистрировать свои базы персональных данных?

Сейчас базы персональных данных не регистрируются, но нужно уведомить Уполномоченного об имеющихся базах. Причем не обо всех, а только о тех, что представляют особый риск для прав и свобод субъектов персональных данных (ст. 9 Закона № 2297). Перечень «особо рискованных» данных можно найти в п. 1.2 Порядка уведомления Уполномоченного Верховной Рады Украины по правам человека об обработке персональных данных, представляющих особый риск для прав и свобод субъектов персональных данных, о структурном подразделении или ответственном лице, организующем работу, связанную с защитой персональных данных при их обработке, а также разглашении указанной информации, утвержденного Приказом № 1/02-14.

Как правило, персональные данные сотрудников, которые нужны работодателю для выполнения его обязанностей, касающихся оплаты труда и кадрового делопроизводства, не попадают в этот «рискованный» перечень. Получается, что Уполномоченного уведомлять не нужно.

Но, возможно, персональные данные сотрудников, которые вы используете в своей деятельности, попадают в указанный перечень? Тогда, согласно ст. 9 Закона № 2297, вам необходимо в течение 30 дней с начала использования «рискованных» персональных данных уведомить об этом Уполномоченного. Формы уведомления утверждены Приказом № 1/02-14.

Что должен сделать работодатель, чтобы в соответствии с законом обеспечить защиту персональных данных работников?

Во-первых, приказом утвердить список лиц, которые имеют право доступа к персональным данным сотрудников. В приказе надо определить, какие именно лица из этого списка и для каких целей могут использовать персональные данные работников. То есть четко указать, кто и зачем. Каждый сотрудник имеет доступ лишь к тем персональным данным, которые необходимы ему в связи с выполнением должностных (служебных) обязанностей).

Во-вторых, разработать форму под названием «Обязательство о неразглашении персональных данных». Согласно ч. 3 ст. 10 Закона № 2297, эту форму должны подписать все сотрудники, которые имеют доступ к персональным данным работников предприятия (например, сотрудники бухгалтерии, отдела кадров, члены комиссии по социальному страхованию и т. д.). Срок действия такого обязательства не прекращается даже после прекращения работы с персональными данными (это может быть как увольнение, так и перевод в другое структурное подразделение предприятия, где не придется работать с персональными данными других сотрудников) – ч. 3 ст. 10 Закона № 2297.

Форму надо давать работнику на подпись во время приема на работу (либо перевода из другого отдела, где нет доступа к персональным данным). Датой получения доступа к персональным данным считается дата подписания сотрудником обязательства, а датой лишения такого права считается дата его увольнения (перевода на другую должность, где не будет доступа к персональным данным) – п. 3.8, 3.9 Типового порядка.

Вот как может выглядеть такое обязательство (см. образец 1).

<...>

Директору ООО «Снег»Луценко В. Н.
Инспектора по кадрам Ромашкиной М. К.

Обязательство

Я, инспектор по кадрам ООО «Снег» Ромашкина Мария Кирилловна, обязуюсь не разглашать персональные данные сотрудников, которые стали мне известны в связи с выполнением мною должностных обязанностей.

17.11.14 г. (подпись) М. К. Ромашкина

<...>

Согласно п. 3.5 Типового порядка, работодатель обязан вести учет работников, имеющих доступ к персональным данным. Для этих целей можно вести на предприятии журнал учета таких работников. Законодательно не установлена форма такого журнала, поэтому заводим его в произвольной форме (например, см. образец 2).

<...>

Журнал учета сотрудников, имеющих доступ к персональным данным.

<...>

В-третьих, уведомить работников о владельце (в нашем случае это работодатель, пояснение терминов приведено в ст. 2 Закона № 2297) его персональных данных, составе и содержании собранных данных, его правах, а также о цели сбора персональных данных (ст. 12 Закона № 2297).

Рекомендуем уведомить всех сотрудников под подпись. Тогда в случае проверки вы всегда сможете подтвердить тот факт, что сотрудник был уведомлен о своих правах в сфере защиты персональных данных в полном объеме. Можно разработать уведомление:

• отдельно для каждого сотрудника. Это не очень удобно при большой численности сотрудников в компании;
• одно общее для всех сотрудников (см. образец 3). Тогда в кадровой службе предприятия будет храниться надлежащим образом утвержденный оригинал Уведомления о порядке обработки персональных данных, с которым каждый сотрудник должен быть ознакомлен под подпись. Для этих целей на предприятии можно завести журнал ознакомления с уведомлением либо оформить бланк ознакомления, который будет храниться в личном деле каждого сотрудника. Рекомендуем именно такой вариант. Также не забываем знакомить вновь принятых сотрудников с Уведомлением. Для этого можно использовать бланк ознакомления (или журнал), либо сделать отметку в приказе о приеме на работу (например, «С Уведомлением о порядке обработки персональных данных ознакомлен. Подпись»).

<...>

Уведомлениеоб обработке персональных данных сотрудников ООО «Снег»

В соответствии с требованиями Закона от 01.06.10 г. № 2297-VI «О защите персональных данных» сообщаем, что в целях реализации трудовых правоотношений ООО «Снег» производит обработку персональных данных сотрудников по правилам действующего законодательства.

На предприятии выполняется обработка следующих персональных данных сотрудников:

1. Паспортные данные, идентификационный код.

2. Данные об образовании.

3. Данные о трудовой деятельности.

4. Данные о военном учете (при наличии).

5. Данные о состоянии здоровья (в соответствии со ст. 24 КЗоТ).

6. Данные о семейном положении, а также о составе семьи.

7. Адрес регистрации, а также адрес фактического проживания, номер телефона.

8. Сведения о сотруднике, которые подтверждают его право на получение льгот и компенсаций (инвалидность, статус матери-одиночки и т. д.).

Указанные персональные данные передаются в установленном законодательством порядке в органы фискальной службы, Пенсионного фонда, службы занятости, а также в другие органы государственной власти и местного самоуправления в соответствии с законодательством.

ООО «Снег» предпринимает меры по защите персональных данных сотрудников от несанкционированной обработки. В связи с этим обработка персональных данных совершается исключительно сотрудниками, подписавшими Обязательство о неразглашении персональных данных, которые стали им известны в результате выполнения своих трудовых обязанностей.

Согласно ст. 8 Закона от 01.06.10 г. № 2297-VI «О защите персональных данных», каждый сотрудник ООО «Снег» имеет право:

• знать местонахождение и способ сбора своих персональных данных, цель их обработки, а также знать, кто является владельцем его персональных данных;
• получить гарантии защиты своих персональных данных от несанкционированной обработки и незаконного уничтожения;
• получать информацию о третьих лицах, которым сообщаются его персональные данные;
• получать доступ к своим персональным данным;
• в случае незаконной обработки либо указания недостоверных персональных данных требовать их уничтожения или изменения.

Директор ООО «Снег» (подпись) В. Н. Луценко

21.11.14 г.

<...>

В-четвертых, разработать Положение о порядке обработки и защиты персональных данных. В этом документе следует отразить все, о чем было сказано выше.

За основу можно взять Типовой порядок.

Ответственность работодателя

Действующим законодательством предусмотрена как административная, так и уголовная ответственность за нарушение требований о защите персональных данных.

Административная ответственность применяется на основании ст. 18839 КУоАП, в частности за такие нарушения:

• несоблюдение установленного законодательством порядка защиты персональных данных, что привело к незаконному доступу к таким данным или нарушению прав субъекта персональных данных. Предусмотрен штраф в размере от 300 до 1 000 НМДГ (от 5 100 до 17 000 грн.), применяемый к должностным лицам предприятий, а также к физлицам-СПД;
• при повторном подобном нарушении, допущенном в течение года, – штраф может составить от 1 000 до 2 000 НМДГ (от 17 000 до 34 000 грн.).

Протоколы об административных нарушениях, предусмотренных этой статьей КУоАП, вправе составлять уполномоченные лица секретариата Уполномоченного (ст. 255 КУоАП). А решение о применении штрафа принимает суд (ст. 221 КУоАП).

Уголовная ответственность в данной сфере предусмотрена ст. 182 Уголовного кодекса – за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации. То есть информации о физическом лице (ч. 2 ст. 21 Закона от 02.10.92 г. № 2657-ХІІ «Об информации»).

Разработайте положение о работе с персональными данными работников предприятия, определите круг лиц, которые имеют доступ к этим данным, оформите все необходимые документы, о которых мы вели речь в этой статье. Ведь нарушения в сфере защиты персональных данных работников чреваты довольно серьезными санкциями.