Сотрудники кадровых отделов работают с персональными данными работников организации: получают, обрабатывают, хранят и передают сведения. Работа с этой информацией регламентируется законом (ТК РФ и ФЗ №152- ФЗ «О персональных данных»). Нужно знать правила обращения с персональными сведениями, чтобы избежать нарушений и штрафов.
Что относится к персональным данным
Статья 3 Закона №152-ФЗ говорит, что персональные данные — это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Это следующая информация о лице:
- Ф. И. О.;
- пол;
- дата рождения;
- место рождения;
- фотография или видеозапись, которая позволяет установить личность;
- адрес;
- семейное положение, информация о детях и родственниках;
- образование, квалификация, сведения о повышении квалификации;
- профессия;
- факты биографии и трудовой деятельности;
- доходы,сведения о зарплате;
- деловые и иные личные качества.
Приведенный перечень сведений является открытым, его дополняют необходимыми пунктами. Персональные данные нужны работодателю для оформления и поддержания трудовых отношений (см. ст. 85 ТК РФ). Информация о работнике содержится в таких документах:
- анкета, автобиография заполненная при приеме на работу;
- трудовой договор;
- документ, удостоверяющий личность (паспорт, заграничный паспорт, военный билет, временное удостоверение личности);
- личная карточка № Т-2;
- трудовая книжка и сведения о трудовой деятельности (СТД-Р, СТД-ПФР, СЗВ-ТД);
- свидетельства о браке, о рождении детей;
- СНИЛС;
- военный билет;
- документ об образовании;
- ИНН;
- водительское удостоверение;
- медицинская книжка (если требуется);
- справка о доходах с прошлого места работы.
Важно! Персональные данные работника — конфиденциальная информация. Это значит, что их нельзя разглашать ее без письменного согласия сотрудника (ст. 3 Закона №152-ФЗ).
Обработка персональных данных сотрудника
Обработка персданных — это действия с личной информацией работника, когда работодатель принимает сотрудника в штат или заключает договор ГПХ; работник продвигается по карьерной лестнице и т.д. Во время обработки соблюдайте требования ст. 5 Закона о персональных данных:
- у обработки должны быть конкретные и законные цель и основание;
- нельзя объединять базы данных, которые содержат персональные данные, обрабатываемые в несовместимых целях;
- обрабатывать можно только те данные, которые соответствуют цели обработки;
- форма хранения персональных данных должна позволять определять субъекта этих данных, а хранить их можно только в течение необходимого срока, после чего следует обезличить или уничтожить;
- запрещена передача личных сведений работника третьим лицам без его письменного согласия;
- персональные сведения передает сам гражданин.
Работодатель должен действовать в целях соблюдения законов и других нормативных актов, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения безопасности, контроля работы, сохранности имущества компании. Работодатель имеет право получать персональные данные только у работника, если же их можно получать от третьих лиц, необходимо уведомить работника и получить его письменное согласие.
Работодатель обязан обеспечить защиту персональных данных, поэтому в локальных актах предприятия нужно прописать Правила защиты личных сведений о работниках. Работники обязаны ознакомится с этими правилами и расписаться о согласии с документом. Для порядка и безопасности организации нужно создать положения и приказы для работы с персданными. Во время проверки у вас должны быть подготовлены: Положение о персональных данных, Заявление работника с согласием на обработку личных данных, Приказ о назначении ответственных за работу с личной информацией работников, Приказ об обеспечении безопасности личных сведений работников.
С 1 сентября 2021 года появились требования к согласию на обработку персональных данных, разрешенных для распространения. Оно должно содержать следующую информацию (Приказ Роскомнадзора от 24.02.2021 № 18):
- Ф.И.О. субъекта;
- контактная информация;
- сведения об операторе (организации, физлице, ИП);
- сведения об информационных ресурсах оператора, на которых будут раскрыты персональные данные субъекта;
- цель обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дано согласие;
- категории и перечень персональных данных, на обработку которых субъект устанавливает условия и запреты;
- условия передачи полученных персональных данных;
- срок действия согласия на обработку.
Это согласие нужно именно работодателю, так как в случае спора он обязан доказать, что имел согласие на обработку. Например, оно точно потребуется при получении данных работника у третьей стороны, при передаче его персональных данных третьим лицам для предупреждения угрозы жизни и здоровью и пр., для обработки специальных категорий данных.
Категории персональных данных
По Методическим рекомендациям Роскомнадзора все категории персональных данных делятся на три:
Персональные данные — любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Это Ф.И.О., дата рождения, адрес, номер телефона, семейное положение, прежнее место работы и т.д.
Специальная категория — раса и нация, политические взгляды, религия, состояние здоровья, интимная жизнь.
Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность.
Хранение и использование данных о персонале

Работодатель обязан ввести порядок хранения и использования сведений о работниках (ст. 87 ТК РФ).
Документы по сотрудникам рекомендуется не объединять в личное дело. Так как позиции Роскомнадзора и судов не однозначные — личные дела считают избыточным по отношению к заявленным целям обработки.
Правила передачи персданных налагают на работодателя ряд ограничений. Ограничения устанавливаются согласно статье 88 ТК РФ:
- известите лиц, которые получили доступ к информации о работнике, что ее следует использовать только в тех целях, для которых они были сообщены;
- передача данных внутри одной компании должна проходить согласно правилам локального акта, с которым работник был ознакомлен;
- доступ к данным получают только специально уполномоченные лица;
- запрещено делать запрос о здоровье работника у медицинского учреждения.
Работники имеют право на предоставление полной информации об их личных сведениях и их обработке (кому передавались сведения и для чего). Также нужно обеспечить сотрудникам свободный доступ к своим личным сведениям и медицинским данным. Помните, что работник имеет право обжаловать в суде незаконные действия работодателя и привлечь должностное лицо-нарушителя к уголовной или административной ответственности.
Ответственность за нарушение правил работы с личной информацией
В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.
Работодателя могут привлечь к административной ответственности по ст. 13.11 КоАП РФ. Так, за обработку персональных данных без письменного согласия работника или с нарушением требований к нему будет наложен штраф:
Категория | Первое нарушение | Повторное нарушение |
---|---|---|
Гражданин | 6 000 — 10 000 рублей | 10 000 — 20 000 рублей |
Должностное лицо | 20 000 — 40 000 рублей | 40 000 — 100 000 рублей |
ИП | 100 000 — 300 000 рублей | |
Юридическое лицо | 30 000 — 150 000 рублей | 300 000 — 500 000 рублей |
Для работников, имеющих доступ к персональным данным, предусмотрены различные виды ответственности за их разглашение:
- К дисциплинарной ответственности относятся замечание, выговор, увольнение.
- К административной ответственности относится штраф: для граждан — 500-1000 рублей, для должностных лиц — 4000-5000 рублей,
- К материальной ответственности привлекаются работники, которые непосредственно обрабатывают персональную информацию. В случае незаконного распространения информации сотрудник организации может заявить о моральном вреде и потребовать его возмещения у работодателя.
- Гражданско-правовая ответственность также накладывается за причинение морального вреда гражданину, чьи права были нарушены. На нарушителя может быть наложена обязанность компенсации вреда по ст. 151, 152 ГК РФ.
- Уголовная ответственность по ст. 137 УК РФ за незаконное собирание и распространение сведений о лице без его согласия предусматривает штраф в сумме до 200 000 рублей или в размере зарплаты за период до 18 месяцев, либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до года, либо принудительные работы на срок до двух лет, либо арест до 4 месяцев или лишение свободы на срок до двух лет.
Работа с личными сведениями требует высокого уровня ответственности. Соблюдайте правила и помните о контроле Трудовой инспекции.
Автор статьи: Александра Аверьянова
Ведите простой кадровый учет в веб-сервисе Контур.Бухгалтерия. Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет. А еще — ведите учет, платите налоги, сдавайте налоговую и бухгалтерскую отчетность и пользуйтесь поддержкой наших экспертов. Первый месяц работы в сервисе — бесплатно.
1.Считается ли передачей ПДн работников Сберу и СКб Контур при выплате зарплаты через Зарплатный проект? Платеж идет на карточку работника и отображается в СКБ КОНтур +в Контуре хранятся личные данные сотрудников, идет расчет отпусков. Если данные работников отображаются в сбере и в контуре то это передача третьим лицам или что-то другое?
2. Похожий вопрос по клиентам организации. Платежи клиентов при оплате через сайт отображаются в юмани, тильде, оповещения от тильды приходят на яндекс почту. Нужно ли прописывать в соглашение, что данные передаются организациям Юмани-Тильда-Яндекс?
3. При подписание согласия на обработку ПДн, где дается согласие на обработку номера телефона, мейла, нужно ли брать у работников и клиентов согласие на звонки, отправку сообщений по почте? и опять таки нужно ли указывать что это передается яндексу и тефонной компании?