Правим личные данные сотрудника. Изменение персональных данных Госслужащий обязан сообщать об изменении персональных данных

ПОЛОЖЕНИЕ

о работе с персональными данными работников

1. Общие положения

1.1. Положение о работе с персональными данными работников «Альфы» разработано в

правовыми актами, действующими на территории РФ.

1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования,

хранения и т. д.) с персональными данными работников и гарантии конфиденциальности

сведений о работнике, предоставленных работником работодателю.

2. Получение и обработка персональных данных работников

2.1. Персональные данные работника работодатель получает непосредственно от работника.

Работодатель вправе получать персональные данные работника от третьих лиц только при

наличии письменного согласия работника или в иных случаях, прямо предусмотренных в

законодательстве.

2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие

сведения о себе:

– дату рождения;

– семейное положение;

– отношение к воинской обязанности;

– местожительство и домашний телефон;

– образование, специальность;

– предыдущее(ие) место(а) работы;

– иные сведения, с которыми работник считает нужным ознакомить работодателя. В анкету

вклеивается фотография работника.

2.3. Работодатель не вправе требовать от работника представления информации о политических

и религиозных убеждениях и о его частной жизни.

2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет

достоверность сведений, сверяя данные, представленные работником, с имеющимися у

работника документами.

2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.

2.6. По мере необходимости работодатель истребует у работника дополнительные сведения.

Работник представляет требуемые сведения и в случае необходимости предъявляет документы,

подтверждающие достоверность этих сведений.

2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся

информация, относящаяся к персональным данным работника. Ведение личных дел возложено

на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.

3. Хранение персональных данных работников

3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся

информация, которая относится к персональным данным работника. Ведение личных дел

возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер

организации.

3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и

пронумерованные по страницам. Личные дела и личные карточки находятся в отделе

бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.

3.3. Персональные данные работников могут также храниться в электронном виде в локальной

компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные

работников, обеспечивается двухступенчатой системой паролей: на уровне локальной

компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем

руководителя организации и сообщаются индивидуально работникам, имеющим доступ к

персональным данным работников.

3.4. Изменение паролей заместителем руководителя организации происходит не реже одного

раза в два месяца.

3.5. В целях повышения безопасности по обработке, передаче и хранению персональных

данных работников в информационных системах проводится их обезличивание. Для

обезличивания персональных данных применяется метод введения идентификаторов, то

есть замена части сведений персональных данных идентификаторами с созданием таблиц

соответствия идентификаторов исходным данным.

3.6. Доступ к персональным данным работника имеют руководитель организации, его

заместитель, главный бухгалтер, а также непосредственный руководитель работника.

Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения

конкретных функций. Доступ специалистов других отделов к персональным данным

осуществляется на основании письменного разрешения руководителя организации или его

заместителя.

3.7. Копировать и делать выписки из персональных данных работника разрешается

исключительно в служебных целях с письменного разрешения руководителя организации, его

заместителя и главного бухгалтера.

4. Использование персональных данных работников

4.1. Персональные данные работника используются для целей, связанных с выполнением

работником трудовых функций.

4.2. Работодатель использует персональные данные, в частности, для решения вопросов

продвижения работника по службе, очередности предоставления ежегодного отпуска,

установления размера зарплаты. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.

4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права

основываться на персональных данных работника, полученных исключительно в результате их

автоматизированной обработки или электронного поступления. Работодатель также не вправе

принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

5. Передача персональных данных работников

5.1. Информация, относящаяся к персональным данным работника, может быть предоставлена

государственным органам в порядке, установленном федеральным законом.

5.2. Работодатель не вправе предоставлять персональные данные работника третьей стороне без

письменного согласия работника за исключением случаев, когда это необходимо в целях

предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных

федеральным законом.

5.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или

настоящим Положением на получение информации, относящейся к персональным данным

работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с

запросом, выдается уведомление об отказе в выдаче информации, копия уведомления

подшивается в личное дело работника.

5.4. Персональные данные работника могут быть переданы представителям работников в

порядке, установленном Трудовым кодексом РФ, в том объеме, в каком это необходимо для

выполнения указанными представителями их функций.

5.5. Работодатель обеспечивает ведение журнала учета выданных персональных данных

работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем

запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении

персональных данных, а также отмечается, какая именно информация была передана.

6. Гарантии конфиденциальности персональных данных работников

6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.

6.2. Работник вправе требовать полную информацию о своих персональных данных, об их

обработке, использовании и хранении.

6.3. В случае разглашения персональных данных работника без его согласия он вправе требовать от работодателя разъяснений.

Помимо ТК РФ вопросы, связанные с обработкой персональных данных, урегулированы Федеральным законом "О персональных данных" от 27.07.2006 N 152-ФЗ (далее - Федеральный закон N 152-ФЗ), в соответствии с которым работодатель относится к операторам персональных данных. Обработка персональных данных должна осуществляться на основе принципа достоверности персональных данных, их достаточности для целей обработки (п. 4 части 1 ст. 5 Федерального закона N 152-ФЗ).

Право работодателя запросить у работника документы, содержащие его персональные данные, предусмотрено только в статье 65 Трудового кодекса РФ. При заключении трудового договора лицо, поступающее на работу, предъявляет работодателю:

• паспорт или иной документ, удостоверяющий личность;
• трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
• страховое свидетельство государственного пенсионного страхования;
• документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
• документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки.

Очевидно, что в процессе трудовых отношений персональные данные работника могут измениться: работник может поменять фамилию, обменять паспорт, повысить свое образование, получить дополнительное образование. Вся эта информация имеет, безусловно, важное значение для работодателя, который обязан не просто вести учет изменений, но и осуществлять определенные действия, в ситуации, когда такие изменения происходят.

В частности, прямо предусмотрена обязанность работодателя в случае изменения сведений о работнике внести изменения в трудовую книжку и личную карточку работника, а также поменять страховое свидетельство обязательного пенсионного страхования (п. 2.3 Инструкции по заполнению трудовых книжек, утвержденной постановлением Минтруда России от 10.10.2003 N 69, Указания по применению и заполнению форм первичной учетной документации, утвержденные постановлением Госкомстата РФ от 05.01.2004 N 1, а также ст. 15 Федерального закона "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" от 01.04.1996 N 27-ФЗ). Несмотря на это, ни ТК РФ, ни Федеральный закон N 152-ФЗ не предоставляет работодателю право требовать от работника своевременного предоставления сведений об изменении его данных. В законодательстве практически отсутствуют механизмы, позволяющие обеспечить реализацию принципа достоверности персональных данных и их достаточности. Работодатель не наделен полномочиями, позволяющими ему своевременно и в полном объеме получать достоверные данные у работника - субъекта персональных данных.

В пределах своей компетенции в соответствии с трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективными договорами, соглашениями работодатели, за исключением работодателей - физических лиц, не являющихся индивидуальными предпринимателями, вправе принимать локальные нормативные акты, содержащие нормы трудового права (ст. 8, ст. 22 ТК РФ).

Поэтому права и обязанности работников и работодателей в области защиты и обработки персональных данных могут быть установлены в положении о защите персональных данных или ином документе, регулирующем взаимоотношения сторон трудового договора в этой области. Работники и их представители должны быть ознакомлены под роспись с этими документами (п. 8 ст. 86 ТК РФ), которые в силу ст. 21 ТК РФ являются для работников обязательными. Обращаем внимание, что эти документы не могут ограничивать гарантии работников, ухудшить их положение по сравнению с установленным ТК РФ, Федеральным законом N 152-ФЗ, коллективными договорами и соглашениями.

Тем не менее, даже если в организации не принят локальный нормативный акт, обязывающий работника своевременно и в полном объеме предоставлять информацию об изменении его персональных данных, это не лишает работодателя возможности обратиться к работнику с соответствующей просьбой о том, чтобы работник либо подтвердил верность уже имеющихся у работодателя сведений либо представил информацию об их изменении.

Отметим, что в п. 27 постановления Пленума Верховного Суда РФ от 17.03.2004 N 2 "О применении судами Российской Федерации Трудового кодекса Российской Федерации" разъяснено, что в отношениях между работником и работодателем должен соблюдаться общеправовой принцип недопустимости злоупотребления правом, в том числе и со стороны самих работников. В частности, недопустимо сокрытие работником временной нетрудоспособности на время его увольнения с работы, либо того обстоятельства, что он является членом профессионального союза или руководителем (его заместителем) выборного коллегиального органа первичной профсоюзной организации, выборного коллегиального органа профсоюзной организации структурного подразделения организации (не ниже цехового и приравненного к нему), не освобожденным от основной работы, когда решение вопроса об увольнении должно производиться с соблюдением процедуры учета мотивированного мнения выборного органа первичной профсоюзной организации, либо соответственно с предварительного согласия вышестоящего выборного профсоюзного органа. Работодатель не должен отвечать за неблагоприятные последствия, наступившие вследствие недобросовестных действий со стороны работника.

Полагаем, что подход суда, примененный в отношении споров о восстановлении на работе, может быть использован и в других ситуациях, когда работник намеренно злоупотребляет правом. Поэтому, даже если в организации не принято положение о защите персональных данных, иного документа, возлагающего на работника обязанность предоставлять сведения об изменении персональных данных работодателю, работник все равно не вправе отказывать работодателю в предоставлении соответствующей информации.

Следовательно, действующее законодательство не предоставляет работодателю право требовать от работника своевременного предоставления сведений об изменении его данных, если иное не установлено в локальных нормативных актах работодателя, например, в положении о защите персональных данных. Тем не менее, работодатель может обратиться к работнику с просьбой подтвердить верность уже имеющихся у работодателя сведений либо представить информацию об их изменении.

Федеральным законом от 07.02.2016 № 13-ФЗ (далее – Закон № 13-ФЗ) ужесточена административная ответственность за нарушение законодательства о защите персональных данных и дифференцирован состав административных правонарушений . С 1 июля 2017 года ответственность за несоблюдение правил о персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ), повысится в разы.

Максимальный размер штрафа для юридических лиц составит 75 тыс. руб. (сейчас – 10 тыс. руб.). Очевидно, работодателям, до сих пор не уделяющим должного внимания правилам обработки персональных данных, необходимо на этом сосредоточиться. В противном случае неосмотрительность может обернуться для них существенными финансовыми потерями

Новые административные штрафы.

Законом № 13-ФЗ заново переписаны положения ст. 13.11 КоАП РФ. Новой редакцией уточнены составы административных правонарушений по законодательству о персональных данных и увеличены размеры штрафов.

	Состав административного правонарушения	Размер штрафа,
	Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных, за исключением случаев, предусмотренных ч. 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния	Для ДЛ – от 5 до 10, для ЮЛ – от 30 до 50.
	Обработка персональных данных без согласия в письменной форме их субъекта на обработку его данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных*	Для ДЛ – от 10 до 20, для ЮЛ – от 15 до 75
	Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных	Для ДЛ – от 3 до 6, для ИП – от 5 до 10, для ЮЛ – от 15 до 30. Вместо штрафа может быть сделано предупреждение
	Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	Для ДЛ – от 4 до 6, для ИП – от 10 до 15, для ЮЛ – от 20 до 40. Вместо штрафа может быть сделано предупреждение
	Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав этих субъектов об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 45. Вместо штрафа может быть сделано предупреждение
	Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния	Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 50

* Указанный штраф налагается за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа 15 – 75 тыс. руб. в итоге может вырасти до весьма внушительных размеров.

Полномочия по возбуждению дел об административных правонарушениях по ст. 13.11 КоАП РФ переданы от прокуроров Роскомнадзору (в новой редакции п. 58 ч. 2 ст. 28.3 и ч. 1 ст. 28.4 КоАП РФ). Но рассматривать эти дела по-прежнему будут суды (ч. 1 ст. 23.1 КоАП РФ).

К сведению:

Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Ведь положениями гл. 14 ТК РФ (наравне с Законом № 152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

Прежде чем рассматривать вопрос о том, как работодателю избежать штрафов, поясним, что понимается под персональными данными, обработкой персональных данных и оператором.

Персональные данные.

Персональные данные – это информация, прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу) (ч. 1 ст. 3 Закона № 152-ФЗ). То есть она позволяет однозначно определить, о каком именно лице идет речь.

Каких-либо конкретных указаний о том, какие сведения считать персональными данными, в действующем законодательстве не содержится (их нет ни в Законе № 152-ФЗ, ни в гл. 14 ТК РФ). В нем закреплены лишь общие принципы. По сути, рассматриваемое понятие является оценочным, что дает определенный простор при квалификации тех или иных сведений о физическом лице в качестве персональных данных. Очевидно, что таковыми следует считать прежде всего сведения, на основании которых возможна безошибочная идентификация субъекта персональных данных. Такие сведения сотрудник, как правило, сообщает сам при приеме на работу. Персональные сведения могут быть получены и от третьей стороны, правда, с письменного согласия сотрудника (ч. 3 ст. 86 ТК РФ). В свою очередь, обезличенные сведения не могут быть отнесены к категории персональных данных.

• фамилия, имя, отчество;
• дата и место рождения;
• адрес (место регистрации);
• семейное, социальное и имущественное положение;
• образование, профессия;
• доходы, имущество и имущественные обязательства.

Это общие персональные данные. Помимо них, в Законе № 152-ФЗ упоминаются:

• специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение – случаи, предусмотренные ч. 2 ст. 10 названного закона;
• биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение – случаи, установленные ч. 2 ст. 11.

К сведению:

Персональные данные работников, как правило, содержатся в следующих документах:

• в паспорте или ином документе, удостоверяющем личность;
• в трудовой книжке;
• в документах о воинском учете, образовании, составе семьи;
• в справке о доходах с предыдущего места работы;
• в анкете, заполняемой при трудоустройстве;
• в личной карточке работника (форма Т-2);
• в свидетельствах о заключении брака, рождении ребенка;
• в медицинских справках; и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных.

Под обработкой персональных данных понимается любое действие (или совокупность действий), совершаемое с ними (с использованием средств автоматизации или без использования таковых). Под действием понимаются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ч. 3 ст. 3 Закона № 152-ФЗ).

Цели обработки персональных данных определены ч. 1 ст. 86 ТК РФ, а ее основные принципы – ст. 5 Закона № 152-ФЗ.

* Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливает каждый работодатель самостоятельно с соблюдением требований Трудового кодекса и иных федеральных законов (включая Закон № 152-ФЗ).

Важный нюанс: законодательством не определены требования к объему персональных данных, которые оператор (работодатель) может обрабатывать с согласия (или без) их субъекта. Следовательно, стороны вправе установить объем получаемых и обрабатываемых сведений самостоятельно. При этом нужно учесть, что требования закона к порядку получения согласия на обработку сведений и к самому порядку их обработки различаются в зависимости от вида (разряда) персональных данных.

Оператор.

Оператор – лицо, которое организует и осуществляет обработку персональных данных (ч. 2 ст. 3 Закона № 152-ФЗ).

Под приведенное определение подпадает любой работодатель (юридическое лицо или индивидуальный предприниматель), получивший персональные данные работника в свое распоряжение. Значит, с этого момента на него в соответствии с требованиями Закона № 152-ФЗ возлагаются обязанности по защите и обеспечению сохранности персональных данных работников.

Причем в соответствии с ч. 1 ст. 18.1 Закона № 152-ФЗ каждый оператор должен самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законом. Одной из этих мер является издание оператором локального нормативного акта, устанавливающего порядок обработки персональных данных работников в организации. Этого же от оператора требуют ст. 86 и 87 ТК РФ. В локальном акте (обычно он именуется Положением о персональных данных) определяются права и обязанности как субъекта персональных данных, так и оператора.

Подчеркнем: наличие обозначенного документа у работодателя обязательно. За его отсутствие специалисты Роскомнадзора могут оштрафовать оператора (и его должностных лиц) на основании ч. 3 ст. 13.11 КоАП РФ.

Требования к оформлению положения о персональных данных.

При составлении Положения о персональных данных необходимо учесть требования о получении, обработке, хранении и использовании персональных данных работников, установленные Законом № 152-ФЗ и гл. 14 ТК РФ . Исходя из названных нормативных актов, в положении о Персональных данных надо указать:

• перечень сведений, относимых к категории персональных данных;
• какие документы, содержащие персональные данные работников, оператор будет представлять в различные госструктуры (внебюджетные фонды, налоговую, трудовую инспекции, органы статистики и т. д.);
• перечень должностных лиц, наделенных полномочиями по обработке, хранению и использованию персональных данных и, соответственно, несущих ответственность за нарушение требований законодательства;
• кто и в каком порядке имеет доступ к полученным персональным данным;
• меры, направленные на сохранение и неразглашение персональных данных, а также порядок их передачи (внутри организации и третьим лицам);
• порядок предоставления субъекту персональных данных информации, касающейся обработки его данных;
• процедуру уточнения персональных данных работников, их блокировку и уничтожение;
• условия и порядок хранения персональных данных сотрудников.

Важный нюанс: работодателю следует учесть требование ч. 8 ст. 86 ТК РФ, где сказано, что работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Оператор в целях выполнения обозначенного требования может, например, оформить соответствующий журнал, в котором работники будут расписываться, подтверждая факт ознакомления. Но есть и иные способы ознакомления под роспись, например отражение данного факта в трудовом договоре.

Итак, положение о персональных данных – это, пожалуй, главный документ, наличие которого необходимо в силу законодательства. Его отсутствие может стать основанием для наложения штрафа по ч. 3 и 4 ст. 13.11 КоАП РФ. Но это не единственный документ, который оператор должен оформить для надлежащего исполнения требований закона.

Согласие на обработку и передачу персональных данных.

В части 1 ст. 9 Закона № 152-ФЗ говорится, что согласие должно быть конкретным, информированным и сознательным. Оно может быть дано субъектом персональных данных (или его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом № 152-ФЗ. Прямо о том, что согласие сотрудника на обработку персональных данных должно быть оформлено письменно, в названном законе не сказано.

Но! Частью 2 ст. 13.11 КоАП РФ определена ответственность оператора и его должностных лиц за обработку персональных данных:

• без согласия в письменной форме субъекта персональных данных на обработку его данных в случаях, когда такое согласие должно быть получено по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния;
• либо с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных.

Получается, когда действующее законодательство в области персональных данных требует получения согласия от субъекта этих данных, это согласие должно быть оформлено письменно (произвольно, так как единый бланк законодательством не предусмотрен). Ведь при возникновении спорных ситуаций доказать факт получения согласия должен именно оператор (ч. 3 ст. 9 Закона № 152-ФЗ). И письменная форма согласия в этом случае будет весьма кстати.

С учетом сказанного работодателю-оператору имеет смысл разработать и утвердить в качестве приложения к Положению о персональных данных бланк согласия работника на обработку и передачу таких данных. Добавим, что Закон № 152-ФЗ допускает оформление согласия в форме электронного документа.

Что нужно указать в согласии?

Требования к содержанию письменного согласия для случаев, когда оно необходимо в силу закона, установлены ч. 4 ст. 9 Закона № 152-ФЗ. В этом случае согласие должно включать:

1. Ф. И. О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.
2. При получении согласия от представителя работника – его Ф. И. О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.
3. Наименование или Ф. И. О. и адрес работодателя.
4. Цель обработки персональных данных.
5. Перечень персональных данных, которые подлежат обработке.
6. Ф. И. О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.
7. Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.
8. Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.
9. Подпись работника.

В иных случаях (когда законодательство не требует получение согласия сотрудника) специальных требований к содержанию согласия Законом № 152-ФЗ не установлено. Вместе с тем общее правило, предусмотренное ч. 1 ст. 9 данного закона (о конкретном, информированном и сознательном согласии), никто не отменял. Поэтому в согласии в любом случае должен быть указан конкретный объем персональных данных, цели и способы их обработки и хранения.

Когда согласие на обработку данных нужно получать, а когда – нет?

Закон № 152-ФЗ допускает обработку персональных данных сотрудников как с их согласия (п. 1 ч. 1 ст. 6), так и без него.

Здесь следует обратить внимание на Разъяснения Роскомнадзора . По мнению чиновников, обработка персональных данных работника не требует получения соответствующего согласия указанного лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленных перечней, а также соответствует целям обработки, предусмотренным трудовым законодательством (см. таблицу).

Не нужно оформлять согласие работника на обработку персональных данных, если они получены	Источник
Из документов (сведений), предъявляемых при заключении трудового договора	Статья 65, ч. 4 ст. 275 ТК РФ, п. 5 ч. 1 ст. 6 Закона № 152-ФЗ
По результатам обязательного предварительного медицинского осмотра о состоянии здоровья	Статья 69 ТК РФ, п. 3 Разъяснений Роскомнадзора
Из личной карточки или в иных случаях, установленных законодательством РФ (например, при получении алиментов, оформлении допуска к государственной тайне, оформлении социальных выплат)	Пункт 2 Разъяснений Роскомнадзора
От кадрового агентства, действующего от имени соискателя на вакантную должность	Пункт 5 Разъяснений Роскомнадзора
Из резюме соискателя, размещенного в Интернете и доступного неограниченному кругу лиц	Пункт 10 ч. 1 ст. 6 Закона № 152-ФЗ, п. 5 Разъяснений Роскомнадзора

Если персональные данные о сотруднике могут быть получены только у третьей стороны (напомним, соответствующая возможность предусмотрена ст. 86 ТК РФ), то он должен быть заранее уведомлен об этом и от него должно быть получено согласие на обработку сведений.

Согласие также необходимо, если работодатель планирует обрабатывать иные данные работника (например, контактные данные – номер сотового телефона, адрес электронной почты).

О согласии на передачу данных.

Помимо согласия на обработку данных, оператору необходимо заручиться согласием работника на их передачу третьим лицам (в том числе в коммерческих целях), что следует из абз. 2, 3 ч. 1 ст. 88 ТК РФ. В этом согласии тоже четко прописывают, какие именно операции с персональными данными совершает работодатель и какова их цель.

Обратите внимание:

Оператор должен предупредить третьих лиц о том, что персональные данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения того, что это правило соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).

В ряде случаев согласие сотрудника на передачу персональных данных третьим лицам оформлять не требуется. Представим эти случаи в таблице.

Согласие не оформляется при передаче данных*	Источник
Третьим лицам в целях предупреждения угрозы жизни и здоровью работника	Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора
Во внебюджетные фонды	Абзац 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора
В налоговые органы и военные комиссариаты	Подпункты 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем	Статья 370 ТК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
По мотивированному запросу органов прокуратуры и правоохранительных органов	Абзац 7 п. 4 Разъяснений Роскомнадзора
По запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности	Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора
В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом	Абзац 5 ст. 228 ТК РФ

* Члены семьи, страховые компании, кредитные учреждения, благотворительные организации, негосударственные пенсионные фонды и иные аналогичные организации в указанный перечень третьих лиц не вошли. Поэтому передать упомянутым лицам персональные данные сотрудника оператор вправе только с его письменного согласия.

«О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Текст нормативного акта напечатан в «Актах и комментариях для бухгалтера», № 3, 2017.

«О персональных данных».

См. Постановление ФАС СКО от 11.03.2014 по делу № А53-10287/2013.

Положение о персональных данных, как и любой другой локальный нормативный акт, утверждается руководителем организации. При наличии в организации представительного органа работников (профсоюза) обозначенный документ должен приниматься с учетом требований, установленных ст. 372 ТК РФ.

«Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве». Размещены на официальном сайте ведомства www.rsoc.ru 24.12.2012.

Актуальные вопросы бухгалтерского учета и налогообложения, №3, 2017 год

Персональные данные граждан – это личная информация, прямо или косвенно относящаяся к конкретному лицу. К таким данным относятся Ф.И.О. человека, дата его рождения, паспортные данные, ИНН, СНИЛС, телефонные номера, адрес проживания, электронная почта и т.д. По каким-либо причинам личные данные человека могут измениться. Должен ли он сообщать сведения об изменении персональных данных, кому и в какой форме - об этом читайте в нашей статье.

Зачем сообщать о новых персональных данных

Свои личные данные граждане предоставляют в различных целях множеству организаций и учреждений: работодателю при устройстве на работу, поликлиникам при получении медицинских услуг, учебным заведениям при обучении, госорганам при регистрации прав и получении различных документов (например, загранпаспорта) и т.д. Все эти лица являются операторами персональных данных на основании закона от 27.07.2006 № 152-ФЗ и обязаны сохранять конфиденциальность полученной информации, не распространяя ее без согласия самого физлица (ст. 7 закона № 152–ФЗ).

Операторы могут обрабатывать персональные данные только в тех целях, для которых они получены. При этом должна быть обеспечена их точность, достаточность и актуальность, для чего оператор удаляет либо уточняет неполную и устаревшую информацию (ст.ст. 5, 9 закона № 152-ФЗ). Чтобы выполнить данное требование, обновленные данные оператору нужно получить от физлица.

В своевременном обновлении заинтересован и сам гражданин, поскольку устаревшие сведения могут негативно отразиться на нем самом. Например, сменив паспорт, и не известив об этом банк, у него возникают проблемы с переводом денег, платежными картами и т.п.

Каждая организация сама устанавливает регламент действий при смене персональных данных. Госструктуры могут разрабатывать специальные формы заявлений, или анкет, в которых учитываются предыдущие и актуальные персональные данные граждан.

Если изменились личные данные работника

Устраиваясь на работу, сотрудник предъявляет работодателю паспорт, документ о воинском учете, СНИЛС, дипломы и т.д. (ст. 65 ТК РФ). Любые из этих сведений могут измениться со временем. В зависимости от того, какие изменения персональных данных произошли, работодатель обязан внести изменения в трудовой договор и кадровые документы, поменять СНИЛС работника.

Но в то же время, закон не обязует сотрудников вовремя извещать работодателя об изменениях своих данных, что весьма невыгодно фирме, ведь отчетность, поданная с устаревшими сведениями, может быть признана недостоверной, что грозит штрафом в 500 руб. за каждый такой документ (ст. 126.1 НК РФ).

Во избежание проблем, работодателю можно внести в Положение о персональных данных пункт, содержащий конкретный срок, в течение которого работник должен сообщать об изменениях. Также можно прописать порядок такого уведомления, а вот привлечь работника к какой-либо ответственности за несвоевременное сообщение обновленных персональных данных нельзя.

Сведения об изменении персональных данных для загранпаспорта

Госструктурам сообщать об изменениях своих данных придется в любом случае. Так, при получении загранпаспорта гражданин, обращаясь в миграционную службу, заполняет необходимые документы, и один из основных – анкета на получение загранпаспорта старого или нового образца. Ее форма утверждена приказом ФМС РФ от 15.10.2012 № 320 (приложение № 1). Помимо актуальных персональных данных (Ф.И.О., пол, дата и место рождения, адрес места жительства и проживания, и т.д.), в анкете указываются сведения об изменении личных данных, если они имели место.

Вносятся только те данные, которые были изменены. Например, женщина, выйдя замуж, изменила только фамилию. Значит, в пункте 5 анкеты будет заполнена строка «фамилия», а также строки, отведенные для указания места и даты смены данных.

В случае, когда изменения были неоднократными, дополнительно придется заполнить приложение № 2, в котором можно указать все остальные случаи смены персональных данных.

Вправе ли работодатель обязать работников своевременно представлять информацию об изменении своих персональных данных (паспортные данные, адрес регистрации, семейное положение, рождение детей, номер телефона и т.д.)? Вправе ли он применить дисциплинарную или материальную ответственность в случае несвоевременного представления информации об изменении своих персональных данных и в случае представления документов, содержащих недостоверные сведения (персональные данные)?

Рассмотрев вопрос, мы пришли к следующему выводу:

Работодатель вправе установить в локальном нормативном акте организации порядок предоставления работниками сведений об изменении их персональных данных (паспортных данных, семейного положения, сведений о детях и адресе места жительства). Однако привлечь работников за несвоевременное сообщение работодателю об изменении их персональных данных (за предоставление документов, содержащих недостоверные сведения (персональные данные)) к дисциплинарной или к материальной ответственности работодатель не вправе.

Обоснование вывода:

Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии со ст. 57 ТК РФ в трудовом договоре указываются фамилия, имя, отчество работника и сведения о документах, удостоверяющих его личность. Обязанность указывать в нем сведения об адресах сторон договора, их семейном положении и наличии детей в законе отсутствует. Однако по усмотрению сторон трудовых отношений данные сведения могут быть внесены в . Сведения о паспортных данных, семейном положении и наличии детей, адресе работника (по паспорту и фактическом) указываются в личной карточке работника. Форма личной карточки работника утверждена постановлением Госкомстата России от 05.01.2004 N 1 (п.п. 9-12)*(1).

Действующее трудовое законодательство не предусматривает обязанности работника предоставлять работодателю сведения об изменении указанных данных. В то же время такая обязанность установлена, например, пенсионным законодательством: работники (застрахованные лица) обязаны предоставлять сведения работодателю и заполнять необходимые документы в случае изменения сведений, содержащихся в его индивидуальном лицевом счете (ст. 14 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования"). Работник (застрахованное лицо) обязан предъявить работодателю (страхователю) документы, подтверждающие сведения о новом адресе, и заполнить соответствующие формы (абзацы второй и четвертый п. 2 ст. 9, п. 2 ст. 6 указанного Закона).

В свою очередь, работодателю как налоговому агенту в случае представления документов, предусмотренных НК РФ и содержащих недостоверные сведения, грозит штраф в размере 500 рублей за каждый представленный документ, содержащий недостоверные сведения (ст. 126.1 НК РФ (вступила в силу с 01.01.2016)). Это касается, в частности, обязанности работодателя отчитываться перед налоговыми органами о доходах физических лиц и удержанном налоге по форме 2-НДФЛ и о расчете сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом по форме 6-НДФЛ (п. 2 ст. 230 НК РФ). Указанные формы содержат персональные данные работников.
Поэтому в целях обеспечения соблюдения законов и иных нормативных правовых актов (например, в области пенсионного, налогового законодательства, а также законодательства о воинском учете, законодательства о социальном обеспечении и т.п.) работодатель может установить в локальном нормативном акте порядок обработки персональных данных работников, включающий в себя также способы сообщения работником об изменении тех сведений, которые необходимы работодателю для соблюдения законодательства, например, путем ежегодного заполнения анкет, переданных работодателем работнику, а также при обращении за выдачей документов, связанных с работой, в которых указываются соответствующие персональные данные.

Порядок должен быть разработан с учетом общих требований при обработке персональных данных работника и гарантий их защиты, установленных ст. 86 ТК РФ; работник должен быть ознакомлен с ним под роспись (п. 8 части первой ст. 86 ТК РФ).

Работодателю следует иметь в виду, что невыполнение работником обязанности о своевременном сообщении информации об изменении своих персональных данных не может повлечь для работника негативные последствия (его нельзя привлечь ни к дисциплинарной, ни к материальной ответственности), поскольку такая обязанность не вытекает из требований трудового законодательства. Законодатель установил для работника только право требования об исключении или исправлении неверных или неполных персональных данных (часть первая ст. 89 ТК РФ), а обязанность по предоставлению актуальных данных на работника законом не возложена.

Нельзя привлечь работника к дисциплинарной или материальной ответственности и в случае предоставления им документов, содержащих недостоверные сведения (персональные данные). Норма п. 11 части первой ст. 81 ТК РФ (о праве работодателя расторгнуть трудовой договор в связи с представлением работником подложных документов) в подобных случаях применима быть не может, поскольку трудовой договор уже заключен, а новые документы (пусть даже с недостоверными сведениями) никак не могут повлиять на решение работодателя о заключении трудового договора*(2).

Поэтому мы полагаем, что установление порядка обработки персональных данных работников в локальном нормативном акте само по себе не решит проблему своевременного изменения работодателем сведений о персональных данных, содержащихся в документах, используемых в деятельности организации, поскольку для работников установление соответствующей обязанности, по сути, будет являться установлением способа реализации ими своего права требования к работодателю об изменении неактуальных данных. Но такой документ, по нашему мнению, может помочь работодателю избежать претензии к нему со стороны работников или контролирующих органов при возникновении тех или иных негативных последствий использования неактуальных сведений при заполнении документов в целях представления их в различные государственные органы.

В то же время необходимо отметить, что несоответствие реальных персональных данных о работнике и данных в кадровых документах может повлечь проблемы для самого работника (например при подтверждении страхового стажа для начисления трудовой пенсии). Своевременное внесение указанных изменений - в интересах самого работника.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Земцов Евгений

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Кудряшов Максим

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
*(1) С 1 января 2013 года на основании ч. 4 ст. 9 Федерального закона от 06.12.2011 N 402-ФЗ "О бухгалтерском учете" унифицированные формы не являются обязательными для использования в коммерческих организациях (письма Роструда от 23.01.2013 N ПГ/409-6-1, от 23.01.2013 N ПГ/10659-6-1, от 14.02.2013 N ПГ/1487-6-1, письмо Минтруда России от 14.05.2013 N 14-1/3030785-2617). Эти организации вправе как пользоваться формами первичных учетных документов, разработанными ими самостоятельно, так и продолжать использовать унифицированные формы.

*(2) Как указывают судебные органы, по п. 11 части первой ст. 81 ТК РФ законно, если подложные документы повлияли на решение работодателя о заключении трудового договора (смотрите, например, апелляционное определение СК по гражданским делам Суда Ханты-Мансийского автономного округа - Югры от 18.02.2014 N 33-629, апелляционное определение СК по гражданским делам Верховного Суда Республики Башкортостан от 26.12.2013 N 33-2711/2013, апелляционное определение СК по гражданским делам Кемеровского областного суда от
12.03.2013 N 33-2026, решение Борского городского суда Нижегородской области от 26.04.2013 N 2-527/2013).