К необходимости выполнять определенные обязанности по работе с персональными данными отделы кадров и службы, заведующие персоналом, уже привыкли. Есть скачанные шаблоны документов, отработанные регламенты. В результате для многих становится большой неожиданностью, когда по итогам проверки Роскомнадзора организация получает штрафы и предписание привести все в соответствие с законом.
Иногда сотрудники, ответственные за работу с персональными данными, даже не понимают, что не так, и что надо исправлять – ведь шаблоны документов все скачивают из интернета, показывают юристам, получают одобрение. Однако это как раз та сфера, в которой очень много привычных, но абсолютно неправильных документов и процедур. Многие и не задумываются, что все это просто не соответствует тому, что написано в законе.
Чтобы избежать штрафов со стороны Роскомнадзора, придется пересматривать прежние правила и принимать новые документы, разбираясь с первоисточником — Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – 152-ФЗ).
В первую очередь это касается согласия на обработку персональных данных. Все давно привыкли, что это обязательный документ, а потому не забывают при приеме на работу выдать новому сотруднику лист бумаги, на котором сплошным текстом набран огромный перечень персональных данных и случаев, куда, как, кому они будут передаваться. Иногда в конце есть еще и приписка «а также иные данные в иных случаях». Почему этот привычный документ в последнее время становится причиной штрафных санкций со стороны Роскомнадзора?
В пункте 4 ст. 9 152-ФЗ дано описание того, как должен выглядеть этот документ – согласие на обработку персональных данных. Обратите внимание на подпункт 4 – он требует, чтобы была указана цель обработки данных, которые оператор (в данном случае – работодатель) собирает. Если вы пишите цель «прием на работу и оформление трудовых отношений», а потом в перечне даете такие персональные данные, как семейное положение, регистрация, наличие и количество детей, а то еще и данные про родственников, то это прямое нарушение, за что вы и получите штраф.
Трудовой кодекс Российской Федерации (далее – ТК РФ) в ст. 86 говорит о том, что «при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, ТК РФ и иными федеральными законами».
Сам ТК РФ дает ограниченный перечень необходимых данных для устройства на работу – он вытекает из документов, которые приведены в ст. 65 ТК РФ. Там идет речь о паспорте, но исключительно как о документе, удостоверяющем личность, а это только первый разворот. Для выяснения отношения к воинской обязанности можно еще глянуть на стр. 13, а вот на остальные страницы кадровик вообще не имеет права смотреть, не то что собирать и обрабатывать. Закон не позволяет.
Да, при этом адрес прописки нужен, например, для передачи бухгалтерских отчетов в ФНС, но это же будет уже другая цель – не оформление трудовых отношений, а «внесение в бухгалтерские системы». Кстати, если вы получили согласие на обработку таких данных, как фамилия, имя и отчество для оформления трудового договора, то это не значит, что вы можете их использовать для той же бухгалтерии или для размещения на корпоративном сайте.
Так можно разобрать текст всего привычного согласия на обработку персональных данных и найти массу нарушений. Как же быть, как правильно составить это согласие?
Прежде всего, надо понять, что одним документом на весь период работы сотрудника вы не обойдетесь. Не пытайтесь в него впихнуть все и сразу – это только приведет к нарушениям. Сделайте правильно основное согласие, а потом будете брать уже узкоцелевые, когда это будет нужно.
Далее, учитывая требования закона, будет удобнее оформить согласие в виде такой таблицы.
Проверьте, чтобы каждой цели соответствовали только те персональные данные, которые разрешены законом. Сами цели тоже не могут выходить за рамки законодательно установленных. Например, кроме ограниченного ряда организаций, работодатель не вправе проводить какие-либо проверки сотрудника, а потому указывать такую цель и требовать под нее данные нельзя. При этом если вы, например, берете человека на должность, по которой предусмотрены зарубежные командировки, можно сразу включить пункт, связанный с этим – это не будет нарушением.
Закончить документ можно вот такой отсылкой.
Соответственно, если в период работы сотрудника понадобится взять у него какие-то еще персональные данные, передать его данные третьей стороне или уже имеющиеся данные использовать с другой целью – просто оформите это отдельным документом.
Конечно, такая работа может показаться более сложной, но это только на первый взгляд. После того как вы разработаете новые формы документов и начнете по ним работать, этот порядок станет таким же привычным, как и ранее существовавший, зато он точно убережет вас от серьезных штрафов.