Основные нарушения при обработке персональных данных работника

Работники - те субъекты персональных данных, благодаря которым операторами персональных данных являются почти все юридические лица нашей страны. Именно поэтому они находятся в привилегированном положении: в трудовом кодексе выделена целая глава, которая регулирует вопросы обработки отдельного вида персональных данных – персональных данных работников. Кроме того, новое Постановление Правительства РФ № 1119 от 01.11.2012, установило новый вид информационной системы персональных данных (Далее – ИСПДн) - ИСПДн, обрабатывающая персональные данные (ПДн) сотрудников оператора.

Несмотря на то, что законодатель нас постоянно подталкивает к защите и грамотной организации обработки персональных данных работников, большинство работодателей от этого старательно уклоняются. У каждого свои причины, но самая главная из них - страх перед неизведанным. В этой статье мы попытаемся передать необходимые знания об основных нарушениях при обработке персональных данных работников и о том, что необходимо сделать для их устранения.

Главная проблема в защите и организации обработки персональных данных - это наличие правовой основы обработки персональных данных. Запомните: сколько бы вы не потратили сил и времени на выполнение требований законодательства о персональных данных, - это может быть все впустую, если вы нарушаете принципы и условия их обработки. Принципы (статья 5 ФЗ «О персональных данных») и условия обработки (статья 6 закона ФЗ «О персональных данных) по нашему мнению, одни из самых главных статей ФЗ «О персональных данных». Поясним почему. Удивительно, но 99 % знакомых и опрошенных нашими коллегами специалистов кадровых служб уверены, что они имеют право хранить ксерокопию паспорта сотрудника, при том, что, только 5% из них могут сказать для чего он им нужен, и никто из них не может назвать правовое основание и законную цель обработки материального носителя персональных данных - ксерокопии.

Дело в том, что в нашем законодательстве нет законного основания для хранения ксерокопий паспортов работника в личном деле (кроме некоторых случаев, связанных с государственной службой). Главное не путать – хранение без цели (на всякий случай) и однократное использование для каких-либо нужд (например, если нужно ксерокопию паспорта работника отправить в учебное заведение, где он будет повышать квалификацию или в банк для выдачи банковской карты). Во втором случае, если нам нужна копия этого документа, то мы ее у него запрашиваем непосредственно для выполнения определенного действия с персональными данными. Хранение документов «на всякий случай» запрещено статьей 5 ФЗ «О персональных данных».

Более того – даже, если взять с работника согласие на обработку ксерокопии паспорта - это не поможет, потому что исходя из статьи 5 ФЗ «О персональных данных»: обработке подлежат только те ПДн, которые отвечают целям их обработки, а цели должны быть конкретными и законными. Грубо говоря, вы не сможете объяснить Роскомнадзору РФ - зачем вам эти данные. Вы скажете - для трудоустройства, они вам в ответ – ТК РФ устанавливает закрытый перечень документов, предъявляемых при поступлении на работу. Посмотрел в паспорт, данные в Т-2 переписал и верни паспорт обратно. И так далее. Конечно, дорогие читатели и их коллеги по кадровому цеху могут возразить и, сославшись на богатую фантазию, придумать цель обработки, но цифры победить трудно: наличие ксерокопии паспорта работника в личном деле - одно из трех самых частых нарушений, фиксируемых Роскомнадзором РФ и его территориальными органами при проведении проверочных мероприятий.

Что касается целей обработки персональных данных работников, то мы должны придерживаться рамок Трудового кодекса Российской Федерации - статья 86: «обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества».
Одной из самых волнующих тем при обработке персональных данных работников является согласие на обработку персональных данных. Трудовой кодекс предусматривает, что при передаче работодателем персональных данных работника, первый обязан запастись письменным согласием на обработку.

Здесь мы плавно переходим к другому самому частому нарушению, фиксируемому Роскомнадзором (его территориальными органами), при проведении проверочных мероприятий. Сейчас почти в каждой организации заработную плату работники получают на банковские карты. Однако, в большинстве случаев (почти всегда), отношения с банком в области обработки персональных данных оформляются неправильно с точки зрения регуляторов. Прежде всего, с работника забывают взять согласие, а так как по ТК это согласие должно быть в письменной форме, его необходимо оформить со всеми требованиями статьи 9 ФЗ «О персональных данных». Очень часто операторы путаются в согласиях для зарплатного проекта, потому что банки предоставляют свои формы согласий. Здесь важно понимать, что согласие должен давать работник своему работодателю на передачу своих персональных данных в банк (статья 88 ТК РФ). Поэтому, согласия, которые берет банк для вас, как для работодателей не играют для вас никакой роли. Другой важный момент - если в вашем согласии прописано, что работник разрешает передавать свои данные в кредитные организации без указания конкретной организации, то это тоже будет нарушением. Необходимо указать в какой именно банк будут передаваться данные.

Кроме этого, в договоре с банком Роскомнадзор (его территориальный орган) часто замечает такой вид правоотношений в области персональных данных, как поручение оператором обработки другому лицу. То есть, работодатель поручает банку обрабатывать персональные данные своих работников. Данная постановка вопроса - весьма спорная. Не спроста ни один банк добровольно это не признает, но есть ли там поручение обработки или нет, как и что нужно сделать, чтобы избежать проблем - это тема для отдельной дискуссии. Мы же просто доводим до читателя факты - отсутствие в договоре с банком положений части 3 статьи 6 ФЗ "О персональных данных" - одно из главных нарушений, устанавливаемых Роскомнадзором (его территориальным органом) при проведении проверочных мероприятий (третье основное нарушение).

При том, нарушители здесь не банки, а работодатели, потому что именно они поручают обработку персональных данных. Поэтому, чтобы избежать возможных проблем – просмотрите свой договор с банком и внесите в него дополнения. Текст, который нужно добавить, можно легко извлечь из части 3 статьи 6 ФЗ "о персональных данных". Также, обратите внимание не только на договор с банком, но и на другие договоры, в соответствии с которыми вы передаете персональные данные работников. Это могут быть, например, договоры на обучение работников, или на проведение медицинских осмотров.

Возвращаясь к проблеме ксерокопии паспорта, стоит обратить внимание на все личное дело сотрудников и определить - все ли документы, в нём находящиеся, вы обрабатываете законно. Нет ли в этих документах, например, сведений о судимости. В соответствие со статьей 10 ФЗ "О персональных данных" сведения о судимости могут обрабатываться только в установленных законом случаях. Прочитайте её, пожалуйста, полностью. Поэтому, если вы "обычный"работодатель, а не, например, школа, то вы не можете обрабатывать сведения о судимости работников, как бы ваша служба безопасности этого не хотела.

Другое частое нарушение законодательства о персональных данных в данной сфере – сбор излишней информации о родственниках. Часто в личном деле работника можно встретить такие сведения о родственниках как место их работы, контактные телефоны (это как минимум). К сожалению, если опираться на законодательство, то в большинстве случаев работодатель может обрабатывать только данные о родственниках, которые указаны в карточке Т-2. Естественно, мы не рассматриваем случаи, когда работник – государственный служащий. Там совсем другая ситуация с данными родственников и другие подобные случаи.

Кроме нарушения непосредственно самого закона, работодатель часто нарушает и требования подзаконных актов, в частности Постановления Правительства 687 от 15.09.2008. Самый частый случай – нарушение пункта 6 данного постановления: «Лица, осуществляющие обработку персональных данных… должны быть проинформированы о факте обработке ими персональных данных,… категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки…».

Все возможные нарушения невозможно изложить в данной статье, но мы надеемся, что она поможет вам избежать основные. Еще важно понимать, что сотрудники Роскомнадзора РФ (его территориальных органов) при проведении проверки не будут досконально изучать ваши локальные документы, часто они вообще не уделяют им внимание – есть - хорошо (если нет, то плохо). Сотрудники Роскомнадзора РФ (его территориальных органов), как большие профессионалы, поступают правильно, ведь намного важнее не наличие красивых документов, а законность обработки тех или иных персональных данных. И в подтверждение наших доводов видно, что почти все основные нарушения вообще не связаны с комплектом ваших внутренних документов. Вы пригласили специалистов, они сделали вам комплект документов, поставили средства защиты и ушли, оставив вас один на один со всеми проблемами.

Поэтому, важным элементом построения грамотной защиты и системы обработки ПДн в организации является наличие своего специалиста разбирающегося в законодательстве о персональных данных. Мы не говорим, что надо их искать и увеличивать штат. Обработка персональных данных - это каждодневная деятельность сотрудника отдела кадров. И вдвойне будет замечательно, если ваш кадровик во всем сам разберется, станет хорошим специалистом и в этом вопросе (именно в вопросах обработки персональных данных работников). Если у вас обрабатываются персональные данные и других субъектов – не надо все валить на специалиста по кадрам, так как обработка персональных данных иных субъектов также требует определенных знаний. Возможно, для этого его нужно будет отправить на пару семинаров или пригласить на аудит сторонних специалистов, но это будет лучше, чем не иметь такого специалиста вообще.