Защита персональных данных работников в 2016 году

Защита персональных данных работников, образец положения о которой можно скачать по ссылке, попадает в сферу действия нескольких законодательных актов. Каждый из них регламентирует права граждан, которые воспринимаются как субъекты персональных данных. Законы предусматривают не только однозначность трактовки ряда терминов, но и определяют круг обязанностей должностных лиц и сотрудников, а также предусматривают несение ответственности за нарушение правил хранения и использования персональных сведений о работниках предприятия, учреждения и т.д.

Конституция Российской Федерации – основополагающий документ, гарантирующий неприкосновенность частной жизни. Поскольку персональные сведения о человеке – это часть его личной жизни, то этот главный федеральный закон призван защищать их от посягательств третьих лиц.

Персональные сведения о работниках частных предприятий или государственных учреждений подпадают под защиту Трудового кодекса Российской Федерации. Один из его разделов – глава 14 – содержит нормы и положения, регламентирующие порядок получения, обработки и хранения данной информации. Здесь же предусмотрена и ответственность за несанкционированное использование персональных данных сотрудников.

Личные сведения о государственных служащих, помимо трудового законодательства, регулируются нормами дополнительных документов в сфере госслужбы, которые определяют условия получения, обработки, хранения и передачи третьим лицам персональных данных сотрудника. Если используются автоматизированные системы сбора и хранения, то следует учесть также нормы Постановления №758 от 17.11.2007.

Единого положения, которое бы исчерпывающим образом регулировало все вопросы, связанные с персональными данными сотрудников, нет. В этом и заключается основная проблема для работодателей, которые вынуждены обрабатывать и хранить сведения с учётом норм и положений нескольких правовых актов. Не разработана до сих пор и терминологическая основа, отсутствует единый подход к пониманию, что является персональными данными, а что нет. Порядок обработки и хранения зачастую в каждой организации свой, так как единый порядок не разработан до сих пор.

Поскольку запрос персональных данных в любом случае должен быть мотивирован целями их дальнейшего использования, то для большинства работодателей справедливыми оказываются следующие мотивы сбора и обработки персональных сведений о сотрудниках:

• определение профпригодности работника;
• подбор должности в соответствии с полученным образованием и практическим опытом;
• обучение сотрудников;
• обеспечение законных интересов на период действия трудового соглашения;
• контроль эффективности эксплуатации имущества организации;
• обеспечение безопасности во время работы;
• проверка качества выполненной работы.

Основополагающими принципами обработки личных данных являются добровольность и законность. При этом должен соблюдаться принцип равенства персонала и быть исключена возможность дискриминации отдельных членов коллектива.

Эти требования провозглашены на федеральном уровне, поэтому в обязательном порядке транслируются в локальных документах учреждения, определяющих внутреннюю работу с персональными данными персонала. При разработке корпоративных документов следует избегать противоречия с действующим в этой сфере законодательством. При этом не стоит забывать и о специфике деятельности самого предприятия.

Обработка персональных данных работника

Сайт журнала «Учет в казенных учреждениях »
Электронный журнал «Учет в казенных учреждениях »

Обработка персональных данных работника в большинстве случае требует его согласия. Что прописать в положении о персональных данных, и как эти сведения правильно использовать, расскажем в статье.

Персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу – субъекту персональных данных. Об этом сказано в статье 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ (далее – Закон № 152-ФЗ).

Такими данными считаются: фамилия, имя, отчество; паспортные данные; семейное положение, наличие детей, родственные связи; социальное, имущественное положение; образование, квалификация, специальность, профподготовка и сведения о повышении квалификации; факты биографии, сведения о предыдущей трудовой деятельности; финансовое положение; иные сведения, которые могут идентифицировать человека.

Согласно нормам статьи 7 Закона № 152-ФЗ, работодатели, получающие доступ к персональным данным сотрудника, должны обеспечивать их конфиденциальность.

Отметим, что иногда получение и обработка персональных данных работника невозможны (подп. 4 и 5 ч. 1 ст. 86 Трудового кодекса РФ, ч. 1 ст. 10 Закона № 152-ФЗ). Речь идет о сведениях о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, об интимной жизни, о его членстве в общественных объединениях или профсоюзной деятельности.

Правда, здесь есть исключение. Случаи и причины, когда оно возможно, установлены статьей 10 Закона № 152-ФЗ. Например, если персональные данные необходимы для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных (либо других лиц), а получение согласия работника невозможно. То есть в этом случае обработка таких сведений будет считаться правомерной.

Работник имеет право:

• на получение полной информации о своих данных и об их обработке;
• на свободный бесплатный доступ к своим данным, включая право на получение копий любой записи, содержащей такие данные (за исключением случаев, предусмотренных ч. 8 ст. 14 Закона № 152ФЗ);
• на определение своих представителей для защиты персональных данных;
• на доступ к медицинским данным, отражающим состояние их здоровья (с помощью медработника по своему выбору);
• на исключение или исправление неверных или неполных персональных данных, а также данных, обработанных с нарушением требований трудового законодательства или иного федерального закона;
• на предъявление требования об извещении работодателем всех лиц, которым ранее были сообщены неверные (неполные) персональные данные, а также обо всех произведенных в них исключениях, исправлениях или дополнениях;
• на обжалование в суд любых действий (бездействия) работодателя при обработке и защите персональных данных.

Обработка персональных данных работника происходит с его согласия ( ч. 1 ст. 6 Закона № 152-ФЗ). При его недееспособности согласие на такую обработку дает его законный представитель. А в случае смерти сотрудника и при условии, что согласие на обработку его персональных данных не было дано им при жизни, оно оформляется наследниками.

Важно помнить, что работник в любое время может отозвать согласие на обработку персональных данных. Однако продолжить такую обработку (без согласия работника) возможно при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона № 152-ФЗ.

Обработка персональных данных работника подразумевает выполнение работодателем определенных действий. А именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление (ст. 3 Закона № 152-ФЗ).

Принципы, которые должны соблюдаться при их обработке, указаны в статье 5 Закона № 152-ФЗ. Отметим, что обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

В соответствии со статьей 88 Трудового кодекса РФ работодатель вправе передавать персональные данные сотрудника третьим лицам только с его предварительного письменного согласия (за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в иных случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами).

Перед передачей персональных данных работодатель должен предупредить третье лицо, что эти сведения могут быть использованы только в тех целях, для которых они были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено.

Работодатель может передавать персональные данные своих бывших сотрудников новым работодателям при наличии письменного согласия работника на такие действия и только при условии, что такую информацию нельзя получить у самого сотрудника.

Порядок хранения и использования персональных данных сотрудников устанавливается работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов ( ст. 87 Трудового кодекса РФ).

Получается, что работодатель должен издать локальный нормативный акт, регулирующий эти вопросы, а также обеспечить защиту данных от неправомерного использования или утраты. Таким актом, как правило, является положение о персональных данных работников.

В соответствии с пунктом 8 части 1 статьи 86 Трудового кодекса РФ работники и их представители должны быть ознакомлены под подпись с документами, устанавливающими порядок обработки персональных данных, а также со своими правами и обязанностями в этой области. При этом пунктом 10 части 1 статьи 86 Трудового кодекса РФ предусмотрено, что указанные лица и работодатели должны совместно вырабатывать меры защиты персональных данных сотрудников.

При обработке персональных данных сотрудника работодатель обязан обеспечить их защиту от неправомерного использования и утраты за счет собственных средств.

Требования к оформлению и содержанию положения о персональных данных законодательством не установлены. Поэтому учреждение должно его разработать самостоятельно. Структура такого документа может быть следующей.

1. Общие положения. В этом разделе надо указать цели и задачи разработки положения, вопросы, которые оно регулирует, порядок введения положения в действие и его пересмотра.

2. Состав персональных данных работника. Здесь нужно перечислить сведения, которые поступают работодателю от сотрудника, требуют обработки, хранения и защиты. Также можно указать, какие документы в учреждении содержат персональные данные работника.

3. Получение и обработка персональных данных. В этом разделе следует указать порядок получения персональных данных работника и какие условия должны быть соблюдены при их обработке. Можно также прописать виды носителей, на которых фиксируются персональные данные (бумажные, электронные).

4. Передача персональных данных. Указывается порядок передачи персональных данных работников внутри учреждения, а также сторонним лицам и государственным органам.

5. Доступ к персональным данным. Здесь устанавливается порядок пользования данными отдельными работниками учреждения, конкретными структурными подразделениями, иными организациями и госорганами. Можно также определить правила их предоставления родственникам и членам семьи работника. При этом нужно регламентировать состав документов, подтверждающих право на подобные запросы.

6. Хранение персональных данных. Отражается место хранения данных как на бумажных, так и на электронных носителях (структурное подразделение или специальный кабинет).

7. Защита персональных данных. Здесь описывают меры защиты данных, хранящихся, например, в сейфах, опечатанных помещениях, а также сведений, размещенных на электронных носителях.

8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных. В этом разделе нужно указать, кто в учреждении несет ответственность за нарушение правил хранения и использования таких данных.

Положение о персональных данных издается и утверждается работодателем путем издания приказа, который подписывает руководитель или иное уполномоченное на это лицо. Работники (их представители) должны быть ознакомлены под подпись с документами, устанавливающими порядок обработки персональных данных.

За нарушение норм, регулирующих получение, обработку и защиту персональных данных, предусмотрена дисциплинарная, материальная, гражданско-правовая, административная и уголовная ответственность (ст. 90 Трудового кодекса РФ).

Согласно статье 13.11 Кодекса РФ об административных правонарушениях, за нарушение порядка сбора, хранения, использования или распространения персональных данных установлены штрафы: в размере от 500 до 1000 руб. – для должностных лиц и от 5000 до 10 000 руб. – для учреждения.

А вот штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей (за исключением случаев, когда разглашение такой информации влечет уголовную ответственность) составляет от 4000 до 5000 руб. (ст. 13.14 Кодекса РФ об административных правонарушениях).

Нарушение порядка работы с персональными данными может быть квалифицировано как нарушение трудового законодательства с привлечением к ответственности по статье 5.27 Кодекса РФ об административных правонарушениях. Тогда учреждению грозит штраф на сумму от 30 000 до 50 000 руб. или приостановление его деятельности на срок до 90 суток.

Трудовой договор с сотрудником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей ему известной в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных другого работника ( подп. «в» п. 6 ч. 1 ст. 81 Трудового кодекса РФ).

Если вред сотруднику допущен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель вправе привлечь его к материальной ответственности за ущерб, нанесенный такими действиями. Это подтверждает пункт 7 части 1 статьи 243 Трудового кодекса РФ. Согласно ему, материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

В статье 151 Гражданского кодекса РФ сказано, что гражданину может быть причинен моральный вред (физические или нравственные страдания) следующими действиями: нарушающими его личные неимущественные права, посягающими на принадлежащие ему другие нематериальные блага и в иных случаях, предусмотренных законом. При таких обстоятельствах суд может возложить на нарушителя обязанность по выплате денежной компенсации указанного вреда.

Кроме того, сотрудник вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности (ст. 152 Гражданского кодекса РФ).

Уголовная ответственность для должностных лиц учреждения может наступить:

• за незаконный сбор или распространение сведений о частной жизни гражданина, составляющих его личную или семейную тайну, без его согласия;
• за распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Предусмотрены следующие виды наказания:

• штраф в размере до 200 000 руб. или в размере зарплаты (иного дохода) осужденного за период до 18 месяцев;
• обязательные работы на срок до 360 часов;
• исправительные работы на срок до одного года;
• принудительные работы на срок до двух лет с лишением права занимать определенные должности или вести определенную деятельностью на срок до трех лет или без такового;
• арест на срок до четырех месяцев;
• лишение свободы на срок до двух лет с лишением права занимать определенные должности или вести определенную деятельность на срок до трех лет.

Обратим внимание, что те же нарушения, совершенные лицом с использованием своего служебного положения, наказываются более строго. Они указаны в части 2 статьи 137 Уголовного кодекса РФ.

Согласие работника на обработку персональных данных

Обрабатывать персональные сведения сотрудников можно только с их согласия. Исключение составляют лишь несколько случаев, например сдача отчетности. А вот для оформления зарплатной карты или медстраховки согласие обязательно. Расскажем, как оформить согласие работника на обработку персональных данных на образце.

Компания вправе обрабатывать персональные сведения сотрудников только с их согласия. Исключение составляют лишь несколько случаев, например сдача отчетности. А вот для оформления зарплатной карты или медицинской страховки согласие обязательно. Отсутствие такого согласия может обернуться для компании и ответственных сотрудников административной ответственностью (ст. 13.11, 13.14 КоАП РФ). Штраф для компании – до 10 тыс. рублей. Для уполномоченных сотрудников, а также руководителя – до 5 тыс. рублей. Причем сотрудники Роскомнадзора могут прийти в компанию как с плановой, так и с внеплановой ревизией по заявлению сотрудника о нарушении работы с его персональными данными.

Уместнее всего оформить согласие сотрудника в заявлении. Его форма нигде не утверждена, поэтому она произвольная. Но, чтобы сотрудники каждый раз не изобретали велосипед, можно разработать единый шаблон.

В пункте 1 статьи 9 Федерального закона от 27.06.06 № 152-ФЗ установлено, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Поэтому в Роскомнадзоре считают, что организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу. Брать универсальное согласие на все случаи жизни рискованно, поскольку в нем не будет конкретных целей, для которых компании требуется согласие.

Например, неправильно писать в заявлении сотрудника, что он согласен на разглашение персональных данных банкам, страховым компаниям и т. д. Строго по закону в таком заявлении должно стоять конкретное название банка, страховой организации или другого третьего лица.

В таком случае заявление можно взять один раз. Например, для оформления зарплатной карты достаточно одного заявления на передачу данных в банк. Оно будет действовать, пока у сотрудника открыт счет.

В заявлении сотрудник также приводит Ф. И. О. паспортные данные, адрес регистрации. Затем пишет, на что именно соглашается, то есть куда будут предоставлены сведения о нем. А после этого пишет максимально подробный перечень персональных данных, на обработку которых дает согласие.

Надо указать и срок действия заявления, и условие о праве работника отозвать согласие в случае незаконного распространения информации о нем (ст. 9 закона № 152-ФЗ). Как правило, срок действия ставят такой же, как в договоре. Например, если согласие необходимо для оформления медицинского полиса, то оно будет действовать столько же, сколько и страховка.

Кстати, согласие работника на обработку персональных данных - не единственный документ, который составляют и хранят при работе с данными сотрудников. Кроме того, необходимо Положение о работе с персональными данными сотрудников. А в ряде случаев надо направить в Роскомнадзор уведомление, в частности, когда компания сообщает сведения о работнике сторонним организациям и это не связано с его трудовой деятельностью в компании или требованием закона. Уведомление можно направить по почте, но гораздо быстрее и удобнее заполнить электронную форму на сайте www.pd.rsoc.ru в разделе "Реестры операторов".

Есть вопрос? Наши эксперты помогут за 24 часа! Получить ответ Новое

Персональные данные работника

Какие документы должен составить индивидуальный предприниматель для защиты персональных данных сотрудников?

Что указывается в положении о персональных данных?

Нужно ли от каждого сотрудника получать согласие на обработку данных?

Информация о физлице, которую бизнесмен получает, принимая сотрудника на работу, относится к персональным данным, а значит, предприниматель должен выполнять требования Федерального закона о персональных данных от 27 июля 2006 г. № 152-ФЗ (далее - Закон № 152-ФЗ), а также помнить о Трудовом кодексе, которым также оговаривается защита персональных данных сотрудника.

Информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, относится к персональным данным. Получение, хранение, комбинирование, передача или любое другое использование персональных данных кодекс называет обработкой персональных данных работника (ст. 85 ТК РФ).

Все персональные данные работника следует получать у него самого. Если информацию можно получить только у третьей стороны, то сотрудника следует уведомить об этом заранее и от него следует получить письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ).

Персональные данные работника содержатся в различных документах (таблица). Задача коммерсанта – обеспечить защиту персональных данных работника от недобросовестного их использования кем-либо или утраты (п. 7 ст. 86 ТК РФ). Кроме того, нельзя забывать о требованиях Закона № 152-ФЗ, который также регулирует вопросы хранения и обработки персональных данных. Никаких специальных систем и сейфов коммерсант приобретать не обязан. Трудовой кодекс предоставляет работодателю свободу: «порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего кодекса и иных федеральных законов» (ст. 87 ТК РФ). Необходимо документально оформить правила хранения и защиты персональных данных.

Документы, в которых содержатся персональные данные работников

Информация о приеме на работу, переводе, увольнении, назначениях, других событиях, связанных с трудовой деятельностью

В первую очередь коммерсант должен составить внутренний документ, где будут урегулированы вопросы хранения и обработки сведений о сотрудниках – положение о персональных данных работников. Разработать внутренний регламент требует и Закон № 152-ФЗ. Каких-либо требований или унифицированной формы положения нет, исходя из требований законодательства основные разделы, положения приведены в таблице 2.

Положение утверждается приказом коммерсанта. Затем все работники под роспись должны быть ознакомлены с этим документом. Можно сделать отдельный журнал (лист) со списком сотрудников, где каждый напротив свой фамилии поставит подпись и дату. Для работников, которые будут оформляться после утверждения положения, факт ознакомления можно зафиксировать в тексте трудового договора.

Далее следует установить перечень сотрудников, которым будет разрешен доступ к персональным данным. Для этого необходимо составить отдельный приказ, где будет названо лицо, ответственное за сбор, обработку, хранение персональных данных (либо оформить это назначение отдельным приказом), а также лица, имеющие доступ к информации (должности должны быть прописаны в положении о персональных данных) и перечень данных, которыми вправе пользоваться тот или иной специалист. Многие данные хранятся в электронном виде. Доступ к этой информации должен быть ограничен (пароли доступа, другие средства электронной защиты), но это не все – необходимо составить список лиц, имеющих доступ к базам данных. Поэтому придется составить либо еще один приказ, либо указать лиц, имеющих доступ к информации в электронном виде в общем приказе.

Сотрудники, получившие доступ к персональным данным других работников, обязаны не разглашать информацию. Проследить за этим сложно, но обезопасить себя коммерсант сможет, если получит от работника письменное обязательство о неразглашении данных.

Основные разделы, которые должны содержаться в положении о персональных данных работников

Цель создания документа (защита данных), вопросы, которые регулирует положение (порядок получения, обработки, хранения), ссылки на нормативные документы, на основании которых разработано положение (Конституция, Трудовой кодекс, Закон о защите персональных данных)

Понятия и состав персональных данных

Все определения, связанные с персональными данными («персональные данные», «обработка персональных данных» и др.) можно взять из статьи 3 Закона № 152-ФЗ, а также статьи 85 ТК РФ.

Далее перечислить документы, в которых содержатся персональные данные, и перечислить состав персональных данных (анкетные данные, домашний адрес, телефон, сведения о стаже, зарплате и т.п.)

Требования, которые должен соблюдать работодатель, названы в статье 88 ТК РФ, а также статьях 18 – 21 Закона № 152-ФЗ

Отдельной статьи, регулирующий этот вопрос, нет. Но в числе обязанностей работника можно назвать обязанность передавать работодателю документы, содержащие персональные данные, перечень которых установлен трудовым и налоговым законодательством, а также своевременно сообщать работодателю об изменении персональных данных

Права работника перечислены в статье 89 ТК РФ

Обработка персональных данных

Обработка персональных данных работника – это получение, хранение, комбинирование любое другое использование информации о работнике. Общие требования, которые должны соблюдаться при обработке приводятся в статье 86 ТК РФ, а также в статьях 6 и 9 Закона № 152-ФЗ. Здесь можно указать, что всю информацию работодатель собирает и хранит для трудоустройства и дальнейшего контроля за качеством выполняемой сотрудником работы (или сделать отдельный раздел «Использование персональных данных», где указать цели использования личной информации). Также можно указать сроки хранения документов

Передача персональных данных

Порядок передачи персональных данных внутри (это актуально для организаций), сторонним лицам, государственным ведомствам. Здесь перечисляются требования, которые должен соблюдать работодатель при передаче данных. В частности, нельзя сообщать сведения без письменного согласия сотрудника. Исключение – случаи, предусмотренные законодательством (представление сведений о доходах в налоговую, отчет в фонды)

Доступ к персональным данным

Оговаривается круг лиц, имеющих доступ к персональным данным (внутренний и внешний). Перечислить сотрудников, имеющих доступ к персональным данным (индивидуальный предприниматель, бухгалтер, сам работник). Достаточно назвать должности, а конкретных лиц утвердить отдельным приказом, указав, к каким именно сведениям тот или иной работник имеет право доступа. Далее следует назвать лиц внешнего доступа, то есть, кому могут быть предоставлены сведения: государственные и негосударственные функциональные структуры (налоговые инспекции, фонды, правоохранительные органы, страховые агентства, подразделения муниципальных органов управления и др.), другие организации (в случае запроса о работающем или уволенном сотруднике, сведения предоставляются с письменного согласия работника; можно еще указать необходимость письменного запроса от организации), родственники и члены семьи (сведения могут быть предоставлены родственникам или членам семьи только с письменного разрешения самого работника)

Защита персональных данных

Основные действия работодателя для обеспечения защиты и сохранности сведений: лица, осуществляющие оформление, ведение, хранение информации (только ИП, ИП и бухгалтер, сотрудники отдела кадров); форма хранения (в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа); хранение сведений в электронном виде (персональные компьютеры, защищенные паролем доступа); лица, которые вправе отвечать на письменные запросы о предоставлении информации (только лица, осуществляющие оформление и хранение, либо лица, имеющие доступ в пределах предоставленных полномочий); возможность передачи информации по телефону, факсу, электронной почте (обязательно письменное согласие работника)

Ответственность за нарушение норм, регулирующих обработку и защиту персональной информации

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 90 ТК РФ)

Обработка персональных данных осуществляется с согласия субъекта персональных данных, то есть физлица (подп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Но существуют случаи, когда согласие не нужно, в частности, когда обработка осуществляется для выполнения обязанностей, возложенных на оператора (работодателя) законодательством (подп. 2 п. 1 ст. 6 Закона № 152-ФЗ). Коммерсант как работодатель обрабатывает персональные данные сотрудника для выполнения своих обязанностей, как стороны трудового договора, а именно составление отчетности, представление сведений о доходах, удержание и перечисление налога, то есть выполняет требования закона. Тем не менее, многие работодатели перестраховываются и запрашивают согласие у всех сотрудников, поскольку формулировки Закона № 152-ФЗ нечеткие, а в Трудовом кодексе эта ситуация не оговаривается.

Кроме того, если предполагается какое-либо иное использование персональных данных, выходящее за рамки Трудового кодекса, скажем, размещение информации о сотруднике на стенде или интернет-сайте, использование фамилии сотрудника в его электронном адресе, оформление визитных карточек сотруднику, то согласие лучше получить. Отметим: в согласии работника обязательно должны указываться ФИО и адрес сотрудника и предпринимателя, реквизиты паспорта работника, цель обработки данных (кадровый учет, отчетность); перечень данных, на обработку которых дается согласие; перечень действий с персональными данными, на совершение которых дается согласие; срок действия согласия, способ отзыва, подпись работника (ст. 9 Закона № 152-ФЗ).

Нужно ли согласие работника, если коммерсант самостоятельно не составляет отчетность, а привлекает сторонних специалистов? Однозначного ответа на данный вопрос нет, разъяснений ведомств тоже. Отдельные налоговые представители требуют предоставить согласие каждого сотрудника и даже предлагают собственный бланк заявления. Конечно, документ лишним не будет и обезопасит от возможных претензий контролеров. Поэтому, если работников немного, согласие лучше получить от каждого. В этом случае в заявлении помимо прочего указывается лицо (нанимаемый специалист, фирма), кому будут предоставляться персональные данные. С другой стороны налоговый агент становится представителем работодателя и, представляя отчетность, действует от его имени, то есть в рамках трудового законодательства. Что касается сохранности сведений, в договоре с привлекаемыми специалистами всегда присутствует пункт о конфиденциальности. Условие о неразглашении сведений можно предусмотреть в трудовых договорах с сотрудниками, которые будут иметь доступ к персональным данным.

Согласие работника на обработку персональных данных

ИП Смирнову А. С.

Заявление на обработку персональных данных

Я, Киселева Елена Николаевна

зарегистрированный (ая) по адресу:__г. Москва, ул. Смольная, д. 7, кв. 15

паспорт серия _45 04 _ № _123456 _, выдан _ОВД «Левобережный» г. Москвы 15.04.2002

даю согласие __ Индивидуальному предпринимателю Смирнову Антону Сергеевичу

адрес: ___г. Москва ул. Полярная, д. 25, кв. 75

на автоматизированную, а также без использования средств автоматизации обработку следующих персональных данных: ФИО, паспортные данные, дата рождения, должность, адрес регистрации, ИНН, номер страхового свидетельства государственного пенсионного страхования _______________

в целях соблюдения законодательства, обеспечения личной безопасности, контроля выполняемой работы, обеспечения сохранности имущества.

Перечень действий с персональными данными:

- формирования кадровых документов и выполнения требований Трудового кодекса;

- начисления заработной платы, исчисления и уплаты предусмотренных законодательством налогов, сборов и взносов на обязательное социальное страхование;

- представления установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ;

- размещения моих фотографий, фамилии, имени, отчества на интернет-сайте.

Данное согласие действительно с __ 1 декабря 2011 года до даты расторжения трудового договора

Согласие может быть полностью или частично отозвано субъектом персональных данных на основании его заявления

Дата заполнения 1 декабря 2011 года