Права сотрудника в области защиты своих персональных данных

Сотрудник — не пассивный объект, а активный субъект, наделенный законом комплексом прав. Их игнорирование — прямая дорога к конфликту.

1. Право на доступ к своим данным. Работник имеет право получать от работодателя подтверждение факта обработки его ПДн, а также знакомиться с ними. Он может запросить копии любых документов, содержащих его данные.

2. Право на уточнение, блокирование и уничтожение данных. Если данные неполные, устаревшие или недостоверные, сотрудник может потребовать их исправить. Также можно потребовать блокировки или удаления данных, если они обрабатываются незаконно или более не нужны для заявленных целей.

3. Право на отзыв согласия на обработку ПДн. Это ключевое право. Однако в трудовых отношениях есть нюанс: отозвать согласие на обработку данных, необходимых для исполнения трудового договора (ФИО, паспорт, ИНН), работник не может. А вот отозвать согласие на обработку данных для целей корпоративной рассылки или передачи партнерам для маркетинга — может.

4. Право на информацию о том, кто и как обрабатывает его данные. Работник вправе знать наименование оператора (работодателя), цель обработки, перечень данных, способы обработки, сроки хранения.

5. Право на защиту своих прав и законных интересов, в том числе в суде. Сотрудник может обжаловать действия или бездействие работодателя в Роскомнадзор или в судебном порядке, требовать возмещения убытков и компенсации морального вреда.

Все эти права должны быть четко прописаны в Положении об обработке ПДн, с которым сотрудника знакомят под подпись.

Обязанности работодателя как оператора персональных данных

Работодатель, обрабатывающий ПДн сотрудников, является оператором и несет перед законом и работниками серьезные обязанности.

Основные обязанности:

1. Обеспечить законность и целенаправленность обработки. Собирать и использовать только те данные, которые непосредственно необходимы для выполнения конкретных трудовых функций (принцип минимизации). Нельзя собирать данные «про запас».
2. Получить от субъекта ПДн (сотрудника) согласие на обработку, если того требует закон. В большинстве случаев для трудовых отношений согласие не требуется, но его часто получают для перестраховки и объединения всех возможных целей обработки.
3. Самостоятельно или с привлечением специалистов обеспечить безопасность ПДн. Это комплекс мер: от установки антивирусов и паролей до решеток на окнах в кадровом отделе.
4. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки ПДн (обычно это Положение).
5. Предоставлять субъекту ПДн (сотруднику) информацию об обработке его данных по его запросу.
6. По требованию Роскомнадзора предоставлять информацию, необходимую для осуществления его контрольно-надзорной функции.
7. Назначить ответственного за организацию обработки ПДн. Это может быть отдельный сотрудник (юрист, специалист по кадрам, по информационной безопасности) или сам руководитель организации.

Невыполнение этих обязанностей — основание для привлечения к административной, а в некоторых случаях — к уголовной ответственности.

Согласие на обработку персональных данных: когда нужно, а когда нет?

Это один из самых запутанных вопросов. Разберем по полочкам.

Когда согласие НЕ ТРЕБУЕТСЯ (основные случаи по трудовому законодательству):

• Обработка ПДн необходима для исполнения трудового договора, стороной которого является сотрудник (ст. 6 152-ФЗ). Прием на работу, ведение кадрового делопроизводства, расчет и выплата зарплаты, отчисление налогов, обеспечение пенсионных прав — все это происходит в силу закона, а не на основании согласия.
• Обработка ПДн необходима для достижения целей, предусмотренных международным договором или законом (например, для воинского учета, предоставления сведений в Пенсионный фонд, ФСС, Налоговую инспекцию).
• Обработка осуществляется для исполнения судебного акта.

Когда согласие НУЖНО:

• Для обработки специальных категорий данных (состояние здоровья, биометрия), если это прямо не предусмотрено законом (например, обязательный медосмотр для поваров).
• Для трансграничной передачи ПДн в страны, не обеспечивающие адекватную защиту (например, если база данных HR-системы физически находится на сервере за рубежом).
• Для обработки данных в целях, выходящих за рамки трудового договора и требований закона. Самые частые примеры:
  • Размещение фотографии сотрудника на корпоративном сайте.
  • Передача его контактов (телефон, email) деловым партнерам для совместных проектов.
  • Использование данных для маркетинговых рассылок, поздравлений с днем рождения.
  • Публикация в открытом доступе списков награжденных или лучших сотрудников с указанием ФИО и должности.

Какие локальные акты должны быть в организации?

Документальное оформление — основа законной обработки ПДн. Вот обязательный и рекомендуемый пакет документов.

1. Положение об обработке персональных данных сотрудников (ОБЯЗАТЕЛЬНО).
Это главный внутренний документ. В нем должны быть отражены:

• Цели и правовые основания обработки ПДн.
• Перечень обрабатываемых данных и способы их получения.
• Правила обработки, включая хранение и уничтожение.
• Перечень лиц (должностей), имеющих доступ к ПДн, и их обязанности.
• Порядок осуществления прав субъекта ПДн (сотрудника).
• Меры по обеспечению безопасности ПДн.

2. Приказ о назначении ответственного за обработку ПДн (ОБЯЗАТЕЛЬНО).
Четко определяет, кто конкретно отвечает за организацию этой работы, взаимодействие с контролирующими органами и сотрудниками.

3. Согласие на обработку ПДн (РЕКОМЕНДУЕТСЯ, а в отдельных случаях ОБЯЗАТЕЛЬНО).
Составляется в письменной форме (в том числе в электронном виде с квалифицированной ЭП) с обязательными реквизитами: ФИО, адрес субъекта, цель обработки, перечень данных, перечень действий с данными, срок действия согласия и способ его отзыва.

4. Журнал учета обращения персональных данных (РЕКОМЕНДУЕТСЯ).
Фиксирует факты передачи данных внутри компании и внешним получателям (кто, когда, кому, на каком основании передал какие данные). Доказывает контроль за потоками информации.

5. Инструкция для пользователей информационных систем, обрабатывающих ПДн (ОБЯЗАТЕЛЬНО при наличии таких систем).
Правила работы с базами данных, парольная политика, порядок действий при утечке.

6. Приказ об утверждении перечня лиц, имеющих доступ к ПДн (РЕКОМЕНДУЕТСЯ).

Пошаговый порядок легальной обработки ПДн сотрудников

Чтобы не запутаться, следуйте этому алгоритму.

Шаг 1. Определите цели и правовые основания обработки.

Четко сформулируйте, для чего вам нужны данные сотрудника: исполнение трудового договора, отчисление налогов, воинский учет, корпоративный PR. Под каждую цель найдите основание в законе (ТК РФ, НК РФ и т.д.) или подготовьтесь получать согласие.

Шаг 2. Разработайте и утвердите пакет локальных актов.

Как минимум, это Положение и Приказ о назначении ответственного. Убедитесь, что документы не являются «декорацией», а реально описывают процессы в вашей компании.

Шаг 3. Обеспечьте физическую и техническую защиту данных.

Шкафы с замками для бумажных дел, пароли на компьютеры, антивирусы, разграничение прав доступа в 1С и CRM-системах, шифрование каналов передачи данных. Если данные обрабатываются в автоматизированном режиме, возможно, потребуется уведомить Роскомнадзор (хотя для большинства работодателей, обрабатывающих данные только для трудовых отношений, эта обязанность отменена).

Шаг 4. Организуйте корректное взаимодействие с сотрудником.

• Ознакомьте его под подпись с Положением о ПДн.
• Получите письменное согласие на все случаи, где оно необходимо.
• Четко реагируйте на его запросы о доступе, уточнении или удалении данных, предусмотренные законом.

Шаг 5. Контролируйте внутренний доступ и передачу данных третьим лицам.

Доступ к ПДн должен быть только у тех, кому это необходимо по работе (кадровик, бухгалтер, непосредственный руководитель). Любая передача данных вовне (в банк для зарплатного проекта, в ФСС для больничного) должна быть документально обоснована (договор, согласие сотрудника, требование закона).

Шаг 6. Соблюдайте сроки хранения и правила уничтожения.

Персональные данные хранятся ровно столько, сколько это необходимо для достижения цели обработки. Трудовая книжка хранится 50 лет, документы по воинскому учету — 5 лет после увольнения, а резюме непрошедшего кандидата — не более нескольких месяцев. Уничтожение (шредирование бумаг, гарантированное стирание с электронных носителей) должно быть документально зафиксировано.

Передача данных третьим лицам: банкам, партнерам, госорганам

Это зона повышенного риска. Принцип прост: передача возможна только при наличии законного основания.

1. Передача государственным органам (ФНС, ПФР, ФСС, военкомат и т.д.).
Основание — прямое требисание федерального закона. Согласие сотрудника не требуется. Но важно передавать ровно тот объем данных, который запрошен, и по защищенным каналам (например, через спецоператора).

2. Передача в банк для организации зарплатного проекта.
Типичная ситуация. Основанием является согласие сотрудника, которое обычно получают при подключении к зарплатному проекту. В договоре с банком должна быть глава, обязывающая банк как оператора ПДн обеспечивать их конфиденциальность и безопасность.

3. Передача медицинской организации для проведения медосмотра.
Достаточно направления на медосмотр, которое является неотъемлемой частью трудовых отношений. Отдельное согласие на передачу ФИО и должности обычно не требуется, но данные о результатах осмотра медорганизация передает уже работодателю с соблюдением врачебной тайны.

4. Передача аутсорсинговой компании (например, для расчета payroll).
Это самый сложный случай. Компания-подрядчик становится вторым оператором. Необходимо:

• Заключить с ней договор, где четко прописать цели, перечень данных, обязанности по защите и ответственность.
• Уведомить сотрудника о том, что его данные будут переданы подрядчику (в идеале — получить отдельное согласие).
• Обеспечить контроль за действиями подрядчика.

5. Передача данных новому работодателю по запросу (характеристики, рекомендации).
Возможна только с письменного согласия самого бывшего сотрудника. Без него передача любой информации, кроме предусмотренной законом (например, справки о доходах для назначения пенсии), незаконна.

Требования к хранению и защите: от бумажных карточек до цифровых систем

Меры защиты должны быть соразмерны возможному ущербу. Комплексный подход включает:

Организационные меры:

• Издание локальных актов и назначение ответственных.
• Ограничение и учет доступа к помещениям, где хранятся данные (архив, кадровая служба).
• Обучение сотрудников, работающих с ПДн.
• Разработка регламентов действий при инцидентах (утечке).

Технические меры (для электронных данных):

• Использование лицензионного антивирусного ПО и межсетевых экранов (firewall).
• Разграничение прав доступа к информационным системам (например, бухгалтер не видит медицинские справки, а менеджер по кадрам не видит финансовые реквизиты).
• Регулярное резервное копирование.
• Шифрование особо важных данных (например, сканов паспортов) и каналов связи.
• Учет всех носителей информации (флешки, жесткие диски).

Физические меры (для бумажных носителей):

• Хранение личных дел и карточек в сейфах или металлических шкафах.
• Оборудование помещений сигнализацией и решетками.
• Четкий журнал выдачи дел во временное пользование.
• Использование уничтожителей бумаг (шредеров) для списания.

Ответственность за нарушение: от штрафов до увольнения

Цена халатности в вопросах ПДн может быть очень высока.

1. Дисциплинарная ответственность.
Сотрудник, разгласивший персональные данные другого работника (например, переславший список с зарплатами), может быть привлечен к ответственности: замечание, выговор, а в случае однократного грубого нарушения — увольнение по пп. «в» п. 6 ст. 81 ТК РФ.

2. Материальная ответственность.
Работник, чьи виновные действия привели к утечке данных и причинили ущерб работодателю (например, штраф от Роскомнадзора), может быть привлечен к полной материальной ответственности.

3. Административная ответственность (по КоАП РФ, ст. 13.11).
Основные санкции для организаций и должностных лиц:

• Обработка данных в случаях, не предусмотренных законом, или обработка, несовместимая с целями сбора: штраф для юрлиц — до 100 тыс. руб.
• Обработка без письменного согласия, когда оно требуется: штраф для юрлиц — до 150 тыс. руб.
• Невыполнение обязанности по опубликованию политики ПДн: штраф для юрлиц — до 40 тыс. руб.
• Непринятие мер по обеспечению безопасности данных, приведшее к утечке: штраф для юрлиц — до 100 тыс. руб. (а при серьезных последствиях — до 500 тыс. руб. по ч. 6 ст. 13.11).

4. Уголовная ответственность (по УК РФ, ст. 137).
Наступает в случае незаконного распространения сведений о частной жизни, составляющих личную или семейную тайну, без согласия лица, если эти действия совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам. Санкции — от штрафа до лишения свободы.

5. Гражданско-правовая ответственность.
Сотрудник, чьи права нарушены, может в судебном порядке потребовать возмещения убытков и компенсации морального вреда.

Что делать при проверке Роскомнадзора или жалобе сотрудника?

Проверка может быть плановой (по графику) или внеплановой (по жалобе сотрудника). Алгоритм действий:

До проверки:

• Приведите локальные акты в соответствие с законом.
• Проведите внутренний аудит: все ли согласия собраны, все ли ознакомлены с Положением.
• Назначьте ответственного, который будет общаться с проверяющими.

Во время проверки:

1. Проверьте полномочия. Запросите распоряжение (приказ) о проведении проверки, удостоверения инспекторов. Внеплановая проверка по жалобе возможна только с согласия прокуратуры.
2. Предоставьте запрошенные документы в установленный срок: Положение о ПДн, приказы, формы согласий, журналы учета.
3. Не препятствуйте доступу в помещения, где осуществляется обработка ПДн (при проведении выездной проверки).
4. Давайте пояснения через ответственного сотрудника.

После проверки:

• Получите акт проверки.
• Если выявлены нарушения и вынесено предписание об их устранении, сделайте это в указанный срок и представьте доказательства в Роскомнадзор.
• Если вы не согласны с результатами, вы можете обжаловать их в вышестоящем органе Роскомнадзора или в суде.

Если поступила письменная жалоба от сотрудника, на нее необходимо дать мотивированный ответ в течение 30 дней. Лучше всего попытаться урегулировать вопрос до передачи жалобы в надзорный орган.

Особенности обработки данных после увольнения сотрудника

Трудовые отношения прекращены, но обязанность по защите данных сохраняется.

1. Архивирование личного дела. После увольнения личное дело сотрудника сдается в архив. Сроки хранения устанавливаются законодательством (например, 50 лет для личных карточек и приказов). Доступ к архивным делам должен быть еще более ограничен.

2. Уничтожение данных, не подлежащих хранению. Резюме, дополнительные копии документов, неподписанные черновики согласий, временные файлы — все это должно быть уничтожено в разумные сроки после увольнения.

3. Прекращение обработки для текущих трудовых целей. Данные бывшего сотрудника удаляются из активных служебных списков рассылки, баз для пропусков, актуальных контактов на сайте.

4. Обработка для иных целей. Если работодатель хочет хранить контакты бывшего сотрудника для потенциального рекрутинга или отправлять ему поздравления, для этого нужно получить его отдельное согласие уже как от физического лица, не связанного трудовым договором.

5. Ответы на запросы. Бывший сотрудник сохраняет все свои права субъекта ПДн и может запрашивать информацию или требовать уничтожения данных. На такие запросы необходимо отвечать в установленном порядке.