Может ли налоговая запрашивать персональные данные работника

Опубликовано: 16.05.2024

  • Как принять на работу иностранца
  • Удаленную работу узаконили
  • Какие документы оформить при найме сотрудника
  • Как принять сотрудников на удалённую работу
  • Бумажная трудовая книжка: инструкция для работодателя
  • Работники без трудового договора: рисковать или не стоит?
  • Срочный трудовой договор: как заключить с пользой и избежать проблем
  • Временный договор с сезонным работником: как заключить правильно
  • Как правильно оформить испытательный срок работнику
  • Договор аренды рабочего места с мастерами в парикмахерской
  • Как уволить пенсионера
  • Работники на неполной ставке: как оформить без проблем
  • Как не получить штраф за вакансию
  • Ученический договор: как подготовить людей к работе в компании
  • Как ИП принять на работу сотрудника
  • Как уволить сотрудника
  • Как принять на работу сотрудника в организацию
  • Сотрудники уволены. Как отчитаться.

Справочная / Сотрудники: наём, зарплата, документы

Персональные данные работников: как работодателю не нарушить закон

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

Основная информация о персональных данных:

Глава 14 Трудового кодекса РФ

Закон № 152-ФЗ О персональных данных

Положение об особенностях обработки персональных данных без средств автоматизации

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

Вот список для ориентира:

Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Сдавайте отчётность без бухгалтерских знаний

Эльба — бухгалтерия, с которой справится любой. Сервис подготовит платёжки на зарплату, налоги и взносы — а потом сам сформирует отчётность.

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Правила работы с персональными данными работника

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

2. Назначьте ответственного за персональные данные.

Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя.

3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально.

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

26 ноября 2020 г. Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон 152-ФЗ в следующем году.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

На семинаре прозвучали доклады:

Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.

Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан. Ее презентация содержит информацию о типовых нарушениях:

  • в банковской сфере;
  • в ЖКХ;
  • в интернете;
  • в связи;
  • в торговле.

Во время трансляции Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора, ответил на самые актуальные вопросы. Здесь полная двухчасовая версия:

Получилось много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления чиновников.

Читайте и имейте в виду, что практика в регионах может отличаться. Некоторые тезисы выступления спорные, но они показывают, как Роскомнадзор будет применять законодательство о персональных в данных в 2021 году.

GDPR и российские компании

GDPR может применяться к российским компаниям в нескольких случаях:

  1. Российская компания имеет филиалы на территории Европы.
  2. Российская компания действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
  3. Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:
  1. сайт доступен на языках стран ЕС;
  2. предусмотрены расчеты в евро.

Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются.

Будет ли приведено российское законодательство к требованиям GDPR

По словам Контемирова, это дискуссионный вопрос. Специалисты изучают практику применения европейского законодательства, но как это будет реализовано в России будет видно в ближайшем будущем.

Трудовые отношения

Как передавать персональные данные сотрудников в рамках групп компаний

Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.

Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).

Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.

Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании

Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).

В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.

Порядок уничтожения персональных данных

Терминатор оператор обработки ПД

Терминатор – оператор обработки персональных данных

Порядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.

Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами.

Что относится к персональным данным по мнению Роскомнадзора

Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.

Сбор копий документов, содержащих персональные данные

Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.

Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.

Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.

Являются ли идентификаторы персональными данными

Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.

Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.

Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.

Фотографии и видеозаписи в контексте персональных данных

Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”

Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.

Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.

Профилирование и оценка личностных качеств

Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных

Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.

О согласиях на обработку персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.

Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.

Например, сообщить о необходимости проверки конфликта интересов.

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.

Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.

Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет.

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.

Передача персональных данных третьим лицам

Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.

Если для обработки персональных данных необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора. В случае изменения этих организаций, согласие придется переподписывать.

Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам.

Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.

Договоры поручения на обработку персональных данных

Является ли провайдер облачных услуг оператором?

Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.

Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?

Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.

Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?

Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.

Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.

Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.

Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.

Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?

Действующим законодательством такая обязанность не предусмотрена, поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица.

Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.

Персональные данные представителей компаний в договоре

Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности.

Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору.

Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.

Ответственное лицо

Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?

К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения. И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ.

Можно ли назначить нескольких лиц, ответственных за обработку ПД?

В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.

Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?

Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.

Заключение

Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, Яндекс Дзене и Телеграм, чтобы делать это вместе.

Остаюсь с вами на связи. Все вопросы по статье можно написать в чат в Я.Дзене.

ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.

Защита персональных данных работника является актуальной проблемой, обсуждаемой юристами разных отраслей. Все чаще мы сталкиваемся с тем, что при приеме на работу требуется информация, предоставление которой нам кажется абсурдной. Работники, связанные с наймом людей, составляют анкеты, содержащие вопросы, которое явно не ставят своей задачей выяснение профессиональных качеств личности. Работник оказывается в безвыходной ситуации: желание получить долгожданную работу превышает нежелание открывать о себе личную информацию. Таким образом, работодатель узнает о работнике подробности его внеслужебной жизни. Где та грань, за которую не имеет право заходить работодатель? Где заканчиваются вопросы профессионализма и начинает затрагиваться частная жизнь?

Трудовой кодекс РФ закрепляет данный вопрос в главе 14 раздела III, который относится к трудовому договору. Получается, что вопрос персональных данных регулируется наряду с вопросами, которые непосредственно относятся к трудовому договору. Помещение главы о персональных данных в раздел, касающийся исключительно трудового договора, вызывается недоумение у многих специалистов. Вопрос персональных данных является вопросом защиты работника, не имеющим непосредственного отношения к трудовому договору.

Существует специальный Федеральный закон «О персональных данных» (от 27.07.2006 №152-ФЗ). Статья 3 данного закона содержит открытый перечень информации, которая может относится к персональным данным.

Трудовой кодекс РФ в ст. 86 под персональными данными работника понимает «информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника». Данная норма дает право работодателю требовать от работника информации, которая хотя и относится логически к персональным данным, однако в законе не закреплена. Формулировка Трудового кодекса «…необходимая работодателю в связи с трудовыми отношениями…» является очень пространной. На практике можно встретить вопросы в анкетах при приеме на работу, которые явно не могут относиться к трудовым отношениям, однако непредоставление данной информации будет причиной неполучению заветного места на работе.

Основной проблемой при предоставлении работником своих персональных данных является то, что именно от того, какая информация попадет к работодателю, зависит получение или неполучение должности. Приведу случай из жизни. При приеме на работу служба безопасности компании нашла сведения на соискателя, что он судится за квартиру бабушки со своими родственниками (такими же наследниками, как и он). После того, как эта информация попала в руки работодателю, работнику было отказано в должности. Оказалось, работодатель посчитал потенциального работника мелочным человеком.

Очень часто соискателям задают вопросы для того, чтобы выяснить характер человека. В некоторых случаях такие вопросы оправданы. Ведь нельзя забывать о том, что работодатель ищет не только профессионала, но и человека с такими качествами, которые не помешают работе всего коллектива. Вопрос заключается в том, насколько глубоко можно выяснять обстоятельства личной жизни человека для получения информации о его характере.

Одного моего знакомого при приеме на работу спросили, любит ли он деньги. Он оказался в неловкой ситуации: при отрицательном ответе его могли счесть «неинициативным» (подобная формулировка сейчас очень распространена), а при положительным ответе – корыстным и т.д. Мой знакомый выкрутился и сказал, что он деньги уважает.

Для того, чтобы избегать подобных нелепых ситуаций и быть готовыми защищать свои права, есть несколько выходов решения данной проблемы.

Во-первых, нельзя забывать о тех гарантиях, которые нам предоставляет Конституция РФ( ст. 23 и ст. 24) . Исходя из этого, можно заключить, что работодатель, вторгаясь в частные вопросы, нарушает конституционные права гражданина.

Во-вторых, важно помнить, что работодатель, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Для этого должно быть создано Положение о защите персональных данных работников.

В-третьих, важно помнить, что под обработкой персональных данных понимается не только получение, но и хранение, комбинирование, передача и любое другое использование данных работника (ст. 85 Трудового кодекса РФ). Итак, как и в случае с перечнем персональных данных, законодатель закрепил открытый перечень действий работодателя по обработке персональных данных работника. При этом нельзя не учесть обязанность работодателя получать все персональные данные работника у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (п. 3 ст.86 Трудового кодекса РФ). Именно этот пункт считаю наиболее важным при защите своих прав в данной области. Основные проблемы и споры между работником и работодателем возникают именно по поводу той информации, которую работодатель приобрел за спиной работника. Важно помнить, что это незаконно, именно это основание может лечь в основу судебного решения в пользу работника.

В-четвертых, принятому работнику важно внимательно читать локальный нормативный акт, который регулирует вопрос персональных данных.

Особое внимание хочу уделить разграничению вопросов личного и профессионального характера. Постановление Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации» под деловыми качествами данного работника понимает «способности физического лица выполнять определенную трудового функцию с учетом имеющихся у него профессионально-квалификационных качеств (например, наличие определенной профессии, специальности, квалификации), личностных качеств работника (например, состояние здоровья, наличие определенного уровня образования, опыт работы по данной специальности, в данной отрасли)» (п. 10).

Постановление также указывает, что работодатель вправе предъявить к лицу, претендующему на вакантную должность или работу, и иные требования, обязательные для заключения трудового договора в силу прямого предписания федерального закона, либо которые необходимы в дополнение к типовым или типичным профессионально-квалификационным требованиям в силу специфики той или иной работы (например, владение одним или несколькими иностранными языками, способность работать на компьютере). Если судом будет установлено, что работодатель отказал в приеме на работу по обстоятельствам, связанным с деловыми качествами данного работника, такой отказ является обоснованным.

Следовательно, при отказе работодатель должен дать четкое обоснование своего решения. Исходя из вышеизложенного, видно, что работнику нельзя отказать при приеме на работу на основании его личных качеств (информацию о которых раскрывают персональные данные). Однако очень сложно понять, где проходит та грань, разделяющая личные качества и качества, необходимые для выполнения той или иной работы.

image_pdf
image_print

В организации ведутся личные дела сотрудников. При приеме на работу специалист по кадрам снимает копии с документов и вкладывает их в личное дело. П равомерно ли это с учетом закона о защите персональных данных? Рассмотрим, как нужно поступать с документами и личной информацией сотрудников, чтобы не получить штраф от Роскомнадзора.

О ведении личных дел

Работодатель обязан вести личные дела сотрудников, если это прямо предписано нормативными актами. Например, такое требование установлено для органов исполнительной власти. У тех компаний, кто не попадает под действие таких актов, обязанности вести личные дела сотрудников нет. Однако иногда работодатели начинают их формировать по своей инициативе. В таком случае они сами составляют перечень документов, которые нужно включить в личное дело. Но при этом важно соблюдать закон о конфиденциальности персональных данных.

Итак, по той или иной причине в компании решено формировать личные дела работников. Прежде всего нужно составить локальный нормативный акт, который определит важные моменты и правила. Это может быть стандарт или положение. В нем целесообразно отразить все нормы оформления личных дели и состав документов.

Главное правило: не стоит собирать лишнюю информацию о сотруднике про запас — только то, что действительно важно. Иначе будут нарушены принципы работы с персональными данными.

Защита личных сведений

О работнике можно собирать только ту информацию, которая отвечает определенным целям обработки персональных данных. Иначе организация может быть оштрафована по статье 13.11 КоАП на сумму от 30 до 50 тыс. рублей. Должностное лицо получить штраф в размере 5-10 тыс. рублей, а гражданин — в сумме 1-3 тыс. рублей.

Как же правильно поступать с документами сотрудника? Обратимся к статье 65 Трудового кодекса. В ней сказано, что документы предъявляются физическим лицом при приеме на работу. Иначе говоря, документы должны быть предъявлены работодателю, после чего они возвращаются сотруднику. При этом в ТК РФ не говорится о том, что специалист работодателя вправе снимать с них копии.

Итак, без согласия работника кадровый специалист может сделать лишь следующее: взять документы сотрудника и внести информацию из них в его личную карточку Т-2.

На практике работодатели часто любят собирать разную информацию о своих сотрудниках и хранить копии их дипломов, СНИЛС, паспортов. Однако все это все эти документы содержат персональные данные работников, которые защищаются законом. Собирать личную информацию, которая соответствует законной цели. Причем цель должна быть вполне конкретной. Например, нельзя хранить персональные данные сотрудника на тот случай, если вдруг их запросит прокуратура или Служба судебных приставов. Пока такого запроса нет, эта информация работодателю не нужна. Соответственно, если он заранее ее собрал и хранит, тем самым он нарушает закон о защите персональных данных.

Важно! Обработка персональных данных гражданина допустима, если это необходимо, чтобы исполнить договор, стороной которого он является. Это сказано в части 1 статьи 6 закона о персональных данных от 27 июля 2006 года № 152-ФЗ.

Если работник дал согласие

Казалось бы, проблема решается просто — можно взять с работника документ о том, что он разрешает обработку своей информации. Но на самом деле этого недостаточно. Даже если сотрудник согласился, это не значит, что появилась законная конкретная цель для обработки данных.

Важно! Работодателям нужно запомнить простое правило: если нет цели, то нет и права хранить копии личных документов сотрудника.

В упомянутом законе определены принципы защиты персональных данных. Суть в следующем:

  1. Должны стоять конкретные, заранее определенные цели, в соответствии с которыми собираются личные данные человека. Как только эти цели достигнуты, обработка его персональных данных должна прекращаться.
  2. Нельзя собирать информацию, которая не соответствует упомянутым выше целям.
  3. Обработке подлежат только те сведения, которые соответствуют указанным целям.
  4. Содержание и объем обрабатываемых данных должен соответствовать цели обработки.

О согласии на обработку персональных данных сказано в статье 9 закона. Оно должно содержать опять же цель обработки, а также перечень действий, которые с этими данными могут быть совершены.

Вывод: хранить копии документов сотрудников в кадровом делопроизводстве можно только в том случае, если это нужно для конкретных целей.

Например, личные сведения могут быть собраны для размещения на сайте работодателя (в разделе «Наши сотрудники») или для оформления полиса добровольного медицинского страхования. Пример избыточной цели — хранение личных данных на случай поступления запроса из государственных органов.

О копии паспорта

В копии паспорта есть не только имя, дата рождения и прочая информация — она может являться источником биометрических персональных данных. В частности, на фото можно заметить особенности внешности человека. Такая информация охраняется законом. Соответственно, хранить копии паспортов работников нужно, во-первых, при наличии адекватных целей а, во-вторых, взяв с них согласие на это.

Подведем итоги

Итак, если работодатель планирует вести личные дела своих сотрудников, то просто приложить к ним копии документов неправомерно. Для этого необходимо, чтобы:

  • было законное основание (правовой акт или внутренний документ);
  • была определенная, законная и адекватная цель обработки информации;
  • было письменное согласие работника на обработку его персональных данных;
  • в согласии была указана цель обработки.

Эти выводы подтверждаются судебной практикой. В частности, постановлениями Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/2013 по делу № А53-12557/2013 и ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013.

Для представления по требованию ИФНС документов, содержащих персональные данные физических лиц, получать согласие субъектов этих персональных данных оператору не требуется

Вправе ли налоговые органы при проведении выездной налоговой проверки требовать у организации персональные данные ее клиентов при условии, что клиенты не давали свое согласие на обработку их персональных данных для налоговых органов? Сведения истребуются в связи с проводимой в отношении организации выездной налоговой проверкой на основании ст. 93 НК РФ. В тексте запроса налоговых органов не указано обоснование требований, а также не указано с исчислением и уплатой какого именно налога запрашиваются персональные данные клиентов.

Рассмотрев вопрос, мы пришли к следующему выводу:

Если организация считает, что истребуемые документы не связаны с исчислением и уплатой проверяемого налога, то представлять их она не обязана, однако в этом случае свою точку зрения, вероятнее всего, придется отстаивать в суде.

Обоснование вывода:

Обработка персональных данных, под которой понимается в том числе их предоставление (действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц), как правило, требует согласия субъекта персональных данных (п.п. 3, 6 ст. 3, п. 1 ч. 1 ст. 6, ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ)). Однако обработка персональных данных с согласия их субъекта является лишь одним из предусмотренных законом случаев, когда допускается обработка персональных данных. Как следует из ст. 6, ч.ч. 2, 3 ст. 9 Закона N 152-ФЗ, при наличии оснований, предусмотренных п.п. 2-11 ч. 1 ст. 6 этого федерального закона, согласия субъекта персональных данных на их обработку не требуется. При этом обязанность предоставить доказательства наличия этих оснований закон возлагает на оператора - орган или лицо, организующее и (или) осуществляющее обработку персональных данных (п. 2 ст. 3 Закона N 152-ФЗ).

Одним из упомянутых выше оснований является обработка персональных данных, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ).

По смыслу этой нормы она затрагивает любые функции, полномочия и обязанности, возлагаемые законом на лицо, обрабатывающее персональные данные, в связи с осуществляемой им деятельностью.

Подпункт 6 п. 1 ст. 23 НК РФ возлагает на налогоплательщиков обязанность представлять в налоговые органы и их должностным лицам в случаях и в порядке, которые предусмотрены НК РФ, документы, необходимые для исчисления и уплаты налогов.

В соответствии с п. 12 ст. 89, п. 1 ст. 93 НК РФ при проведении выездной налоговой проверки у налогоплательщика могут быть истребованы необходимые для проверки документы в порядке, установленном ст. 93 НК РФ. Отказ проверяемого лица от представления запрашиваемых при проведении налоговой проверки документов или непредставление их в установленные сроки признаются налоговым правонарушением и влекут ответственность, предусмотренную ст. 126 НК РФ (п. 4 ст. 93 НК РФ).

НК РФ не ограничивает полномочия налоговых органов по истребованию документов, содержащих сведения, относящиеся к персональным данным согласно Закону N 152-ФЗ.

Отсюда следует, что предоставление по требованию налогового органа документов, содержащих персональные данные, является обязанностью оператора в силу п. 2 ч. 1 ст. 6 Закона N 152-ФЗ и не требует получения согласия субъекта персональных данных.

Обратим внимание, что нормы НК РФ не позволяют определить, какие именно документы налоговый орган вправе запрашивать при проведении налоговой проверки в каждом конкретном случае. Минфин России в письме от 09.10.2012 N 03-02-07/1-246 пришел к выводу о том, что к таким документам относятся любые документы, содержащие информацию, касающуюся деятельности проверяемого налогоплательщика (плательщика сбора, налогового агента).

Таким образом, на практике вопрос о правомерности предъявления налогоплательщику требования о представлении тех или иных документов в рамках налоговой проверки (равно как и по иным основаниям, предусмотренным ст. 93.1 НК РФ) решается в зависимости от конкретных обстоятельств. При этом налоговый орган определяет перечень истребуемых документов по своему усмотрению, в зависимости от предполагаемого наличия связи сведений, содержащихся в этих документах, с предметом налоговой проверки или иных мероприятий налогового контроля.

Вместе с тем, учитывая положение п. 12 ст. 89 НК РФ, можно прийти к выводу о том, что на основании ст. 93 НК РФ налогоплательщик обязан представлять только документы, которые связаны с исчислением и уплатой определенного налога, правильность исчисления которого проверяется в ходе проверки. На это указывает и пп. 1 п. 1 ст. 31 НК РФ, который предоставляет налоговым органам право требовать от налогоплательщика не любые документы, а лишь те, которые подтверждают правильность исчисления и своевременность уплаты (удержания и перечисления) налогов, сборов.

Отметим, что законодательство о налогах и сборах не обязывает налоговые органы каким-либо образом обосновывать в требовании о представлении документов (информации) необходимость представления налогоплательщиком отдельных документов. Не содержит указания на такое обоснование и форма требования о представлении документов (информации), утвержденная приказом ФНС России от 31.05.2007 N ММ-3-06/338@, поскольку речь идет об истребовании документов при проведении налоговой проверки на основании ст. 93 НК РФ. В этом случае подлежащие представлению документы, разумеется, должны быть связаны с предметом налоговой проверки, то есть с теми налогами, правильность исчисления и уплаты которых исследуется в рамках данной проверки. Если требование предъявляется на основании ст. 93.1 НК РФ (то есть в рамках "встречной" проверки или в порядке получения информации о конкретной сделки вне рамок проведения налоговых проверок), в требовании о представлении документов (информации) указываются, помимо прочего, реквизиты лиц, деятельности которых касаются истребуемые документы, а также мероприятие налогового контроля, в связи с проведением которого возникла необходимость в представлении документов (информации).

Однако изложенное выше не означает, что налоговые органы вправе в связи с проведением налоговой проверки истребовать документы, не относящиеся к предмету этой проверки.

Таким образом, право налоговых органов на истребование документов, связанных с проводимой в отношении организации налоговой проверкой, не ограничено тем фактом, что в истребуемых документах имеются персональные данные физических лиц. Получать согласие этих лиц на обработку их персональных данных, если они представляются по требованию налогового органа, оператор не обязан. Вместе с тем вопрос об обоснованности представления тех или иных документов должен решаться в каждом случае индивидуально, в зависимости от объективной возможности установить наличие или отсутствие связи истребуемых документов с предметом проверки. Непредоставление или отказ налогоплательщика в предоставлении документов может повлечь за собой применение к нему санкций, предусмотренных ст. 126 НК РФ. Однако, если в конкретной ситуации у налогоплательщика есть основания полагать, что истребуемые на основании ст. 93 НК РФ документы не имеют отношения к проводимой в отношении него налоговой проверке, он вправе их не представлять. При этом есть вероятность того, что в спорной ситуации суд поддержит такую позицию налогоплательщика (смотрите в связи с этим постановления ФАС Московского округа от 30.10.2012 N Ф05-12430/12 и от 13.02.2012 N Ф05-14916/11, ФАС Западно-Сибирского округа от 13.05.2011 N Ф04-1221/11, Восемнадцатого арбитражного апелляционного суда от 14.12.2011 N 18АП-11769/11).

Считаем необходимым также отметить, что, по нашему мнению, основания для применения к оператору санкций согласно ст. 13.11 Кодекса РФ об административных правонарушениях (предусматривающей ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в рассматриваемом случае отсутствуют. Независимо от наличия объективной связи истребуемых документов с предметом налоговой проверки оператор, исполняя требование налогового органу, действует в рамках обязанностей, которые возложены на него законом. При этом законодательство не обязывает оператора проверять фактическое наличие оснований истребования документов налоговым органом и отказывать в представлении документов при отсутствии таких оснований.

Читайте также: