- Личное дело
Работодатель обязан вести личные дела, если это определено нормативными правовыми актами. В личные дела гражданских служащих вносятся данные и сведения в соответствии с ч. 3 ст. 42 Федерального закона от 27.07.2004 N 79-ФЗ.
Если работодатель решил вести личные дела в своей организации, то порядок формирования документов работников в личные дела разрабатывается им самостоятельно и закрепляется в ЛНА. При этом важно не хранить лишнюю информацию о работниках, чтобы не нарушить принципы обработки персональных данных.
Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
- Персональные данные работников
Одним из принципов обработки персональных данных является то, что содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки (ч. 5 ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»). Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
За нарушение принципов обработки персональных данных, несовместимой с целями их сбора, Роскомнадзор может привлечь работодателя к административной ответственности по ч. 1 или 2 ст. 13.11 КоАП РФ и выписать предупреждение или административный штраф:
– на должностных лиц – от 5 000 до 20 000 руб.;
– на юридических лиц – от 30 000 до 75 000 руб.
В ст. 65 ТК РФ документы работника определены как предъявляемые при приеме на работу. Предполагается, что они именно предъявляются работодателю, а не передаются ему на хранение или для снятия копий.
Хранение копий паспорта гражданина РФ, СНИЛС, документов об образовании подпадает под понятие «обработка персональных данных», т.к. копии содержат персональные данные работника. Но работодатели часто хранят копии на случай «а вдруг проверяющие из налоговой, ФСС, прокуратуры и т.д. запросят». Такое объяснение не подходит для цели обработки персональных данных. А если нет законной конкретной цели, то нет и согласия на обработку персональных данных, содержащихся в копиях документов. Законная цель обработки персональных данных работника – исполнение договора, стороной которого является субъект персональных данных (подп. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ).
Даже если работник согласен передать копии работодателю, законной цели при этом не возникает. То есть нет законной конкретной цели – нет права хранить копии.
Проверяющие из Роскомнадзора применяют принципы, определенные ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ:
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Цели обработки персональных данных не должны быть избыточными по отношению к заявленным целям.
Требования к содержанию согласия на обработку персональных данных определены в ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ. К обязательным сведениям в согласии относятся цель обработки персональных данных и перечень действий с персональными данными.
Хранение копий документов работника должно ограничиваться достижением заранее определенных, конкретных целей, которые не должны быть избыточными по отношению к заявленным целям обработки.
Пример законных и конкретный целей обработки персональных данных:
- для целей добровольного медицинского страхования работников;
- для размещения информации о ФИО работника, его должности на внутреннем сайте работодателя.
Пример незаконной цели обработки персональных данных: на случай, если запросят проверяющие из налоговой, ФСС, прокуратуры и т.д.
Наличие у работодателя копий документов работников может свидетельствовать об избыточности информации о работниках (их персональных данных) по сравнению с тем, что требуется действующим законодательством.
Копия паспорта может содержать биометрические персональные данные, т.е. данные об особенностях физиологических и биологических особенностях человека. Например, на копии можно увидеть особенности строения овала лица, формы глаз, носа и т.д.
В соответствии со ст. 11 Федерального закона «О персональных данных» биометрические персональные данные обрабатываются только с согласия работника. В согласии нужно прописать цели, которые бы не нарушали принципы обработки персональных данных, не допускали излишней их обработки и были бы конкретными и законными.
Таким образом:
– Сбор и хранение в документах по кадровому учету копий документов работника, когда это не предусмотрено нормативными правовыми актами и согласием работника, является превышением объема обрабатываемых персональных данных работника, установленного Конституцией РФ, ТК РФ и иными федеральными законами. Подобный вывод есть в судебной практике (см., например, Постановления Пятнадцатого арбитражного апелляционного суда от 14.03.2014 N 15АП-22502/2013 по делу N А53-12557/2013, ФАС Северо-Кавказского округа от 21.04.2014 по делу N А53-13327/2013).
– Если есть конкретная цель, собирать и хранить копии правомерно. Хранение копий документов работника законно только в том случае, если работодатель определил конкретную цель их обработки (хранения), не допускающую излишней обработки персональных данных. Цель должна быть прописана в согласии на обработку персональных данных. При отсутствии такой цели и согласия хранение копий документов, даже если работодатель определит возможность, является нарушением законодательства о персональных данных. Запрашивать информацию у работника лучше в каждом конкретном случае. При передаче личных дел в архив на хранение (а они должны храниться 75 лет) все копии документов, содержащих персональные данные, должны быть уничтожены.
Читайте подробнее