Внесите в повестку дня ближайшего заседания правления вопрос обработки персональных данных. Как организовать обработку и уведомление в прилагаемых файлах.

Внесите в повестку дня ближайшего заседания правления вопрос обработки персональных данных. Как организовать обработку и уведомление в прилагаемых файлах.

Как организовать обработку персональных данных сотрудников

Н.З. Ковязина

Из рекомендации вы узнаете, когда обязательно получать согласие сотрудников на обработку персональных данных. Разберемся, какие документы оформить и что грозит за нарушения при работе с персональными данными.

Понятие персданныхВ бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 ТК.Будьте внимательны: сведения о зарплате – также персональные данные. Об этом сказано в письме Роскомнадзора от 07.02.2014 № 08КМ-3681. За то, что бухгалтер неправильно хранит или защищает данные о начислениях и выплатах сотрудникам, предусмотрена ответственность. Например, без согласия сотрудника нельзя сообщать его бывшей жене информацию о зарплате.Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 ТК и статье 10 Закона от 27.07.2006 № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27.07.2006 № 152-ФЗ).Внимание: то, что работодатель хранит копии паспорта, военного билета, свидетельства о заключении брака, рождении ребенка, проверяющие из Роскомнадзора могут квалифицировать как обработку персональных данных, которые избыточны по отношению к заявленным целям их обработки. Есть суды, которые поддерживают такую позицию (см., например, постановления ФАС Северо-Кавказского округа от 21.04.2014 № А53-13327/2013, от 11.03.2014 № А53-10287/2013). В этом случае организации и ее должностным лицам грозит ответственность.

Общедоступные персданные

Общедоступная информация – это общеизвестные сведения и иная информация, доступ к которой не ограничен. Такая информация может использоваться любыми лицами по их усмотрению при соблюдении законно установленных ограничений на ее распространение. Об этом говорится в пунктах 1, 2 статьи 7 Закона от 27.07.2006 № 149-ФЗ.

Общедоступные персональные данные – данные, которые субъект персональных данных сделал таковыми. К общедоступным персональным данным могут относиться сведения, доступные неограниченному кругу лиц (например, данные из открытых справочников, адресных книг и др.).

Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.

При обработке таких данных оператору не нужно уведомлять об этом уполномоченный орган по защите прав субъектов персональных данных (п. 4 ч. 2 ст. 22 Закона от 27.07.2006 № 152-ФЗ).

Ситуация: относится ли фотография к персональным данным

Под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона от 27.07.2006 № 152-ФЗ). Фотография представляет собой визуализированный способ подачи информации, именно по ней можно идентифицировать человека. Таким образом, фотографию можно отнести к персональным данным сотрудникам, а следовательно, на нее будут распространяться все общие правила работы с таким видом данных, в том числе необходимость получения согласия сотрудника на передачу, размещение и обработку его фотографии.

Более того, запрет обнародовать и в дальнейшем использовать изображения гражданина без его согласия прямо установлен в статье 152.1 ГК. Исключение составляют случаи использования:

· фотографий в государственных, общественных или иных публичных интересах;

· оплаченных фотографий;

· фотографий, которые сделаны в рамках публичных и массовых мероприятий.

Универсальное согласие

Ситуация: можно ли при заключении трудового договора получить у работника письменное согласие на предоставление его персональных данных третьим лицам во всех необходимых ситуациях до момента увольнения

Нет, нельзя.

Для передачи данных сотрудника третьим лицам организация обязана получить письменное согласие этого сотрудника. Без письменного согласия сотрудника его персональные данные могут быть переданы третьим лицам тогда, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, и в других случаях, предусмотренных федеральными законами. Такие правила установлены частью 1 статьи 88 ТК.

В Трудовом кодексе РФ не содержится требований к содержанию письменного согласия на передачу данных. Однако пунктом 1 статьи 9 Закона от 27.07.2006 № 152-ФЗ установлено, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Из этого следует, что организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу. Лишь при таких условиях требование о конкретности и сознательности согласия может считаться выполненным. Перечень сведений, которые должны содержаться в письменном согласии на передачу персональных данных, установлен в пункте 4 статьи 9 Закона от 27.07.2006 № 152-ФЗ.

Передача данных в банк

Ситуация: нужно ли уведомлять и получать согласие сотрудников на передачу их персональных данных в банк для оформления зарплатных карт. Организация переходит на выплату зарплаты на банковские карты.

Да, нужно, при этом в отдельных случаях работодатель сможет передать такие данные и без согласия сотрудника.

Оформить письменное согласие сотрудника на обработку персональных данных можно при приеме на работу. При этом в дальнейшем сотрудник сможет отозвать свое согласие. Однако даже при отозванном согласии работодатель вправе продолжить обработку персональных данных сотрудников, если такая обработка требуется в рамках договоров, заключенных с ними (ч. 2 ст. 9 Закона от 27.07.2006 № 152-ФЗ). С учетом указанного возможны следующие варианты.

Если в локальных документах организации предусмотрена выплата зарплаты именно на банковские карты и сотрудник согласен получать деньги на карту и при приеме на работу ознакомлен с этими документами, то при переходе на выплату зарплаты на банковские карты работодатель вправе обрабатывать данные и без согласия сотрудника. Объясняется это тем, что обработка таких данных предусмотрена в рамках заключенного трудового договора, за выполнение обязанностей по которому сотруднику должна быть выплачена зарплата на банковскую карту в соответствии с положениями локального документа о порядке выплаты. То есть работодатель будет действовать в интересах самого сотрудника в рамках заключенного с ним договора (ч. 2 ст. 9 Закона от 27.07.2006 № 152-ФЗ).

Если же в локальном документе предусмотрены варианты расчетов с сотрудниками или вообще данный момент не прописан, то сотрудники вправе самостоятельно решить, получать им зарплату через кассу или на банковскую карту. Важны условия трудового договора. В локальном акте работодателя можно прописать порядок действий, если все согласны, и постоянно заручаться согласием вновь поступивших.

Ситуация: нужно ли повторно получать согласие сотрудников на обработку персональных данных при смене банка для перечисления зарплаты

Нет, не нужно, при условии, что в уже имеющихся согласиях не был указан конкретный банк, в который предоставляли данные. Если же предыдущее согласие было составлено под конкретный банк, то работодателю придется получить новое согласие по общим правилам (ст. 9 Закона от 27.07.2006 № 152-ФЗ).

Кроме того, получать согласие не нужно, если в локальных документах организации предусмотрена выплата зарплаты именно на банковские карты и сотрудник при приеме или в процессе работы был ознакомлен с этими документами (ч. 2 ст. 9 Закона от 27.07.2006 № 152-ФЗ).

Передача данных в профсоюз

Ситуация: нужно ли уведомлять и получать согласие сотрудников на передачу их персональных данных профсоюзу на проверку

Нет, не нужно.

Профсоюзы вправе контролировать работодателей по вопросам соблюдения трудового законодательства. При такой проверке они знакомятся с информацией, относящейся к персональным данным, в том числе путем получения соответствующих документов работодателя. Однако эти действия профсоюза необходимы для осуществления профессионального контроля за соблюдением трудового законодательства, прямо предусмотрены законодательством и потому не требуют уведомления и получения согласия сотрудников на передачу их персональных данных.

При этом представители профсоюза, получившие документы, содержащие персональные данные сотрудников, обязаны соблюдать требования конфиденциальности и безопасности при их обработке, а также обеспечить их использование только в целях, для достижения которых они были представлены. Такие выводы следуют из совокупности положений статей 86, 88, части 1 статьи 370 ТК, пункта 2 части 1 статьи 6 Закона от 27.07.2006 № 152-ФЗ и подтверждается письмом Роскомнадзора от 27.06.2011 № ШР-13444.

Ситуация: обязан ли работодатель передавать оператору связи сведения о сотрудниках, которые имеют доступ к Интернету на рабочем месте

Да, обязан.

Все работодатели, включая индивидуальных предпринимателей, должны передавать оператору связи, который предоставляет им доступ к Интернету, список сотрудников, использующих ресурсы Интернета на рабочем месте. Такая обязанность установлена Правилами, утвержденными постановлением Правительства от 10.09.2007 № 575.

Работодатель указывает в списке, представляемом оператору связи, следующие персональные данные сотрудников, которые используют Интернет на рабочем месте:

· фамилию, имя, отчество;

· местожительство;

· реквизиты документа, удостоверяющего личность.

Данный список должен быть заверен руководителем организации, либо уполномоченным им лицом, или индивидуальным предпринимателем. При этом список нужно обновлять не реже одного раза в квартал. Обязанность по представлению списка, а также конкретные сроки его представления должны быть зафиксированы в договоре, заключенном между работодателем и оператором связи (п. 22.1 Правил, утв. постановлением Правительства от 10.09.2007 № 575).

Следует учесть, что работодатель может передавать такие персональные данные сотрудников оператору связи без получения их согласия. Объясняется это следующим. Согласие сотрудника на обработку его персональных данных не требуется, если такая обработка необходима для выполнения работодателем возложенных на него законодательством функций, полномочий и обязанностей в качестве оператора персональных данных. Поскольку обязанность по передаче оператору связи персональных данных сотрудников, использующих доступ в Интернет, установлена нормативно-правовым актом, то получать их согласие на такую передачу не нужно. Такие правила предусмотрены подпунктом 2 пункта 1 статьи 6 Закона от 27.07.2006 № 152-ФЗ.

Уведомление Роскомнадзора

До начала обработки персональных данных сотрудников работодатель должен уведомить территориальное подразделение Роскомнадзора о намерении обрабатывать данные. Исключение составляют случаи обработки персональных данных, которые:

· обрабатываете в соответствии с трудовым законодательством;

· сотрудники сделали общедоступными;

· получили в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);

· относятся к членам (участникам) общественного объединения или религиозной организации;

· включают в себя только фамилии, имена и отчества сотрудников;

· необходимы в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;

· включены в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

· обрабатываете без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

· обрабатываете в случаях, предусмотренных законодательством России о транспортной безопасности.

Об этом говорится в частях 1 и 2 статьи 22 Закона от 27.07.2006 № 152-ФЗ.

Форма уведомления о намерении обрабатывать персональные данные, а также порядок ее заполнения утверждены приказом Роскомнадзора от 30.05.2017 № 94. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона от 27.07.2006 № 152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального подразделения Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона от 27.07.2006 № 152-ФЗ).

Если работодатель прекращает обрабатывать персональные данные, об этом также нужно уведомить Роскомнадзор. Срок – в течение 10 рабочих дней с момента прекращения обработки данных (ч. 7 ст. 22 Закона от 27.07.2006 № 152-ФЗ). Форма заявления о прекращении обработки данных, а также порядок ее заполнения утверждены приказом Роскомнадзора от 30.05.2017 № 94.

Ситуация: что следует понимать под обработкой персональных данных сотрудника

Под обработкой персональных данных следует понимать любое действие или совокупность действий, совершаемых с персональными данными сотрудника, в том числе с использованием средств автоматизации.

В частности, к таким действиям можно отнести сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Это следует из положений пункта 3 статьи 3 Закона от 27.07.2006 № 152-ФЗ.

Так, получение от сотрудника сведений, необходимых для заполнения его трудового договора и личной карточки, хранение этих сведений и документов, оформленных на их основании, в полной мере относится к обработке персональных данных.

Персональные данные сотрудников обрабатывают уполномоченные на это представители организации (как правило, сотрудники службы персонала). Лица, осуществляющие обработку персональных данных, должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и локальными актами организации. Об этом говорится в пункте 6 положения, утвержденного постановлением Правительства от 15.09.2008 № 687, статье 22.1 Закона от 27.07.2006 № 152-ФЗ.

Работодатель вправе поручить обработку персональных данных сторонней организации. Договор между работодателем и такой организацией должен предусматривать обязанность данного лица обеспечить безопасность персональных данных при их обработке (ч. 3 ст. 6 Закона от 27.07.2006 № 152-ФЗ, п. 3 требований, утв. постановлением Правительства от 01.11.2012 № 1119).

Защита персональных данных

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает руководитель организации. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Также нужно назначить ответственного по работе с персональными данными. Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Ответственного за работу с персональными данными назначьте приказом в произвольной форме (ч. 5 ст. 88 ТК).

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27.07.2006 № 152-ФЗ и требованиях, утвержденных постановлением Правительства от 01.11.2012 № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

· уничтожение;

· изменение;

· блокирование;

· копирование;

· предоставление;

· распространение;

· иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 требований, утвержденных постановлением Правительства от 01.11.2012 № 1119.

Работодатель выбирает конкретные средства защиты информации для информационной системы обработки персональных данных в соответствии с нормативно-правовыми актами ФСБ и ФСТЭК. Определяйте типы угроз безопасности персональных данных, которые актуальны для системы обработки и защиты персональных данных, с учетом оценки возможного вреда и в соответствии с нормативными актами ФБС и ФСТЭК (п. 4, 7 требований, утв. постановлением Правительства от 01.11.2012 № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 требований, утвержденных постановлением Правительства от 01.11.2012 № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК от 18.02.2013 № 21.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 требований, утв. постановлением Правительства от 01.11.2012 № 1119).

Пример, как оформить Положение о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников.

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Ситуация: как защитить персональные сведения, находящиеся в компьютерной базе данных

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8−16 требований, утвержденных постановлением Правительства от 01.11.2012 № 1119.

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 требований, утвержденных постановлением Правительства от 01.11.2012 № 1119.

Ситуация: можно ли не работающим в службе персонала сотрудникам предоставить право доступа к персональным данным других сотрудников

Да, можно, если доступ к таким сведениям необходим сотрудникам для выполнения определенных трудовых функций.

Доступ к персональным данным сотрудников могут иметь только специально уполномоченные лица, которым такой доступ необходим для выполнения конкретных функций. Об этом говорится в статье 88 ТК.

Как правило, доступ к персональным данным сотрудников в силу специфики деятельности должны иметь:

· сотрудники службы персонала;

· сотрудники бухгалтерии;

· генеральный директор и при необходимости его заместители;

· руководители подразделений и непосредственные руководители.

При этом каждой из указанных категорий сотрудников устанавливается свой уровень доступа. Так, например, сотрудникам бухгалтерии может быть предоставлен доступ в части адресных данных сотрудников и их семейного положения, руководителям подразделений – в части персональных сведений исключительно по своим подчиненным.

Уровни доступа тех или иных лиц, а также конкретный порядок передачи персональных данных сотрудников внутри организации должен быть прописан в ее локальных документах, например в положении о защите персональных данных сотрудников. Уполномоченные лица должны быть ознакомлены с положениями документа и предупреждены о своих правах и обязанностях, а также об ответственности за использование сведений не по назначению (п. 8 ч. 1 ст. 86, абз. 5 ст. 88 ТК).

Ситуация: можно ли разместить персональные данные своих сотрудников на корпоративном сайте

Нет, нельзя.

Персональные данные сотрудника – это информация, необходимая организации и относящаяся к определенному физическому лицу (конкретному сотруднику). Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д. Об этом говорится в пункте 1 статьи 3 Закона от 27.07.2006 № 152-ФЗ.

Размещение персональных данных на корпоративном сайте организации является распространением информации, которое возможно только с письменного согласия сотрудника (ст. 88 ТК).

Главбух советует: условия о размещении персональных данных сотрудников на корпоративном сайте пропишите в Положении о работе с персональными данными. При этом к нему составьте приложение, в котором укажите список сотрудников согласных (или несогласных) на размещение персональных данных. Таким образом, требование статьи 88 будет выполнено, и организация сможет разместить персональные данные сотрудников, согласных с таким размещением, на корпоративном сайте.

В целях обеспечения прав своих сотрудников организация и ее представители при обработке персональных данных обязаны соблюдать требования, регламентируемые статьей 86 Трудового кодекса. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к административной и уголовной ответственности (ст. 90 ТК). Или могут быть уволены с формулировкой «за разглашение персональных данных другого сотрудника на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса РФ».

Ситуация: вправе ли руководитель структурного подразделения ежемесячно требовать от бухгалтерии информацию о начисленной зарплате своих подчиненных

Сведения о начисленных сотрудникам суммах относятся к персональным данным (п. 1 ст. 3 Закона от 27.07.2006 № 152-ФЗ). Непосредственный руководитель может их запрашивать, если соответствующий допуск установлен в локальном нормативном акте и получено согласие сотрудника на обработку его персональных данных.

Вместе с тем, информацию об окладах и надбавках сотрудников содержит штатное расписание. Штатное расписание является локальным документом организации и к персональным данным не относится. Руководитель структурного подразделения при необходимости может обращаться к данному документу, если это предусмотрено должностной инструкцией руководителя или локальным актом организации. Это позволит ему получить необходимые сведения без обращения в бухгалтерию.

Отказ на обработку данных

Ситуация: как поступить, если человек отказывается давать согласие на обработку его персональных данных

Организация вправе продолжать обрабатывать персональные данные человека без его согласия при наличии определенных оснований. При этом объем такой обработки достаточно велик и позволяет организации осуществлять текущую деятельность без нарушений.

В частности, работодатель может не требовать согласия на обработку персональных данных у соискателей для заключения трудового и гражданско-правового договора, направления персонифицированной отчетности в органы Пенсионного фонда РФ, налоговой отчетности в ФНС России, сведений о военнообязанных в военные комиссариаты, а также для хранения документов с персональными данными, в том числе трудовых и гражданско-правовых договоров, личных карточек, личных дел, и т. д. То есть когда работодатель исполняет возложенные на него законодательством обязанности. Чтобы производить все иные действия, придется получать согласие человека на обработку его персональных данных (п. 2–11 ч. 1 ст. 6, ч. 4 ст. 9, ч. 2 ст. 10, ч. 2 ст. 11 Закона от 27.07.2006 № 152-ФЗ).

Внимание: действующее законодательство не обязывает человека давать согласие на обработку персональных данных, поэтому отказ с его стороны нельзя считать нарушением и основанием для отказа в заключении договора. Штатный сотрудник также не может быть уволен или привлечен к иной дисциплинарной ответственности за отказ от предоставления согласия на обработку персональных данных.

Ситуация: как поступить, если сотрудник отказывается предоставлять персональные данные членов семьи для заполнения кадровых документов

Сотрудник предоставляет персональные данные о самом себе в соответствии со статьей 9 Закона от 27.07.2006 № 152-ФЗ. Чтобы заполнить личную карточку сотрудника, работодателю нужны сведения о членах его семьи и ближайших родственниках. Если сотрудник отказывается предоставлять данные о родственниках, то работодатель не вправе требовать их предоставления (ч. 1 ст. 9 Закона от 27.07.2006 № 152-ФЗ, п. 3 ст. 86 ТК). В таком случае некоторые разделы личной карточки по форме № Т-2 останутся незаполненными по объективным причинам.

Чтобы избежать возможных претензий со стороны проверяющих органов и сотрудника, рекомендуется получить заявление сотрудника с его отказом от предоставления таких данных или зафиксировать такой отказ в акте. И акт и заявление можно составить в произвольной форме.

Обезличивание данных

В исключительных случаях, предусмотренных законодательством, государственные и муниципальные органы должны обезличивать персональные данные, которые обрабатывают в своих информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (подп. «з» п. 1 перечня, утв. постановлением Правительства от 21.03.2012 № 211). В частности, к таким случаям относится необходимость органов государственной власти и местного самоуправления размещать в открытом доступе документы, содержащие персональные данные, например, обезличенные копии судебных актов (п. 3 ст. 15 Закона от 22.12.2008 № 262-ФЗ).

Под обезличиванием персональных данных понимают действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона от 27.07.2006 № 152-ФЗ).

Да, можно.

Условие о неразглашении конфиденциальной информации работодатель вправе предусмотреть в трудовых договорах в отношении тех сотрудников, которые непосредственно работают с персональными данными: кадровиков, менеджеров по персоналу, секретарей. В этом случае при приеме на работу ознакомьте сотрудника с положением о работе с персональными данными (ст. 57 ТК).

Ситуация: можно ли в локальный акт организации включить условие об обязательном применении полиграфа в процессе трудовой деятельности сотрудников

Нет, нельзя.

Использование полиграфа в процессе трудовой деятельности (при трудоустройстве, установлении виновного в причинении ущерба работодателю и т. п.) Трудовым кодексом не предусмотрено. Кроме того, медицинские, научные и иные опыты (в том числе полиграфическое тестирование) на людях без их добровольного согласия в Российской Федерации запрещены (ч. 2 ст. 21 Конституции).

Таким образом, условие о возможности применения полиграфа может быть включено в локальные акты организации, при этом обязать сотрудника проходить проверку на полиграфе без его согласия работодатель не вправе.

Ситуация: можно ли в рабочих кабинетах установить системы видеонаблюдения

Да, можно, но по общему правилу с согласия сотрудников.

Видеонаблюдение в кабинетах – один из случаев обработки персональных данных сотрудников. В связи с чем в общем случае требуется согласие сотрудников на такую обработку (ст. 86 ТК, ст. 9 Закона от 27.07.2006 № 152-ФЗ). Исключение могут составлять ситуации, когда наличие видеоконтроля предусмотрено, например, нормами законодательства или связано с непосредственным выполнением трудовой функции сотрудников. Подробнее о случаях, когда согласие сотрудников на обработку персональных данных не требуется, см. в перечне исключений.

После получения согласия сотрудников и установления систем видеонаблюдения работодатель обязан обеспечить защиту полученной с помощью видеокамер информации и не допускать ее несанкционированного разглашения (ст. 19 Закона от 27.07.2006 № 152-ФЗ).

Следует помнить, что негласное наблюдение за сотрудниками может быть расценено как нарушение гарантированной статьями 23, 24 Конституции неприкосновенности частной жизни (см., например, определение Верховного суда от 14.09.2006 № КАС06-326). Ведение скрытого, без информирования сотрудников, видеонаблюдения может повлечь для работодателя административную и уголовную ответственность (ст. 13.11 КоАП, ст. 138.1 УК).

При введении видеонаблюдения после заключения трудового договора Роскомнадзор в своих разъяснениях от 02.09.2013 рекомендует уведомлять сотрудников о нововведении за два месяца и оформить дополнительные соглашения к трудовому договору в порядке изменений организационного или технологического характера (ст. 74 ТК).

В то же время суды при рассмотрении данного вопроса занимают противоположную позицию – предупреждать сотрудников о введении видеонаблюдения за два месяца не требуется. По мнению суда, наличие или отсутствие видеонаблюдения на рабочих местах не относится к существенным условиям трудового договора и введение видеонаблюдения никак не влияет и не изменяет трудовую функцию сотрудника и не сказывается на его рабочем процессе. Достаточно внести изменения в Правила трудового распорядка или в иной локальный документ, регулирующий обустройство офисных помещений, и ознакомить с ним сотрудников (ст. 57 ТК, апелляционное определение Алтайского краевого суда от 15.10.2013 № 33-8403/2013).

Чтобы минимизировать риски судебных разбирательств, следуйте более безопасной первой позиции и предупреждайте сотрудников за два месяца до введения системы видеонаблюдения.

Ситуация: может ли работодатель снимать отпечатки пальцев сотрудников для организации пропускного режима

Да, может, если работодатель не относится к органам, которые обязаны проводить государственную дактилоскопию, и проводит дактилоскопию по своей инициативе при условии, что сотрудник дал согласие на ее проведение.

Дактилоскопия бывает двух видов: государственная и негосударственная.

Основные требования к проведению государственной дактилоскопической регистрации, а также органы, которые имеют право ее проводить, устанавливает Закон от 25.07.1998 № 128-ФЗ. В частности, проводить дактилоскопию и использовать отпечатки вправе суды, органы прокуратуры, предварительного следствия, дознания, органы уголовно-исполнительной системы и т. п. Об этом говорится в статье 14 Закона от 25.07.1998 № 128-ФЗ.

Негосударственную дактилоскопию работодатели вправе проводить по своей инициативе. Например, для организации пропускного режима в организацию. При условии, что организация не относится к органам, которые обязаны проводить государственную дактилоскопию (ст. 14 Закона от 25.07.1998 № 128-ФЗ).

При этом следует учесть, что отпечатки пальцев относят к одному из видов персональных данных – биометрическим персональным данным. Такие биометрические данные в общем случае можно обрабатывать только при наличии письменного согласия сотрудника. Исключение действует для случаев совершения правосудия и исполнения судебных актов, оперативно-разыскной деятельности, противодействия терроризму, коррупции и т. п. (ч. 1 ст. 11, ч. 2 ст. 11 Закона от 27.07.2006 № 152-ФЗ).

Таким образом, если работодатель не относится к органам, которые обязаны проводить государственную дактилоскопию, и проводит дактилоскопию по своей инициативе, например, для организации пропускного режима, то он вправе снимать отпечатки пальцев сотрудников при наличии их согласия. Следует отметить, что если кто-то из сотрудников откажется давать свое согласие на дактилоскопию, то в этом случае организации придется использовать для них альтернативную пропускную систему. Например, пластиковые карты.

Ситуация: вправе ли работодатель читать переписку своих сотрудников

Внесите в повестку дня ближайшего заседания правления вопрос обработки персональных данных. Как организовать обработку и уведомление в прилагаемых файлах.