Как защитить персональные данные работников

Каждый работодатель, обрабатывающий персональные данные (ПДн) сотрудников — это оператор. Он должен учитывать требования ФЗ от 27.07.2006 №152-ФЗ и главы 14 ТК РФ. Защита персональных данных работников — одна из ключевых обязанностей оператора. Он должен предпринять все необходимые меры в целях обеспечения прав и свобод человека, предотвращения утечек и крупных штрафов. Если руководитель будет игнорировать ФЗ №152-ФЗ, он поставит под удар репутацию компании. 

Какие данные работников считаются персональными

Принимая человека на работу, вы неизбежно получаете доступ к его личной информации. Согласно ст. 3 ФЗ № 152-ФЗ, персональные данные (ПДн) — это любые сведения, относящиеся прямо или косвенно к определенному физическому лицу (субъекту ПДн), которым в трудовых отношениях является ваш работник.

Что конкретно относится к ПДн работника и требует обязательной защиты:

1. Базовые идентификационные данные: ФИО, дата и место рождения, паспортные данные (серия, номер, кем и когда выдан), адрес регистрации и проживания, ИНН, СНИЛС. Это основа, которую вы собираете всегда.
2. Информация о трудовой деятельности: данные трудовой книжки (стаж, предыдущие места работы), сведения о приеме, переводах, увольнении, должности, квалификации, отпусках, дисциплинарных взысканиях и поощрениях. Сюда же относится информация о заработной плате и иных выплатах.
3. Контактные и биографические сведения: личные номера телефонов, адреса электронной почты, сведения об образовании (дипломы, аттестаты), семейном положении, составе семьи (особенно для предоставления льгот), наличии иждивенцев.
4. Специальные категории ПДн (ст. 10 ФЗ-152) — данные, требующие особой защиты. В контексте трудовых отношений это чаще всего:
   • Состояние здоровья (необходимо для оформления больничных, установления инвалидности, предоставления особых условий труда по заключению врача). Пример: получение листка нетрудоспособности или справки МСЭ для установления инвалидности.
   • Биометрические данные (используются для идентификации). Пример: цифровое фото для пропуска, отпечатки пальцев для системы контроля доступа. Сбор и обработка персональных данных этой категории возможны только с письменного согласия работника (за исключением случаев, предусмотренных ч.2 ст. 11 ФЗ №152-ФЗ).
5. Данные, возникающие в процессе работы: переписка с использованием корпоративной почты (если касается личности), записи с видеокамер наблюдения (если ведется идентификация личности), результаты внутренних расследований, характеристики.

Важно! Обработка и защита персональных данных работника начинается с момента получения любой такой информации и распространяется на весь ее жизненный цикл в вашей организации.

Определение точного перечня данных, которые вы обрабатываете в отношении каждого сотрудника, и их правовая классификация — первый и критически важный шаг к построению легальной системы. Ошибки на этом этапе ведут к нарушениям ФЗ-152 и рискам значительных штрафов. Уже здесь многие работодатели сталкиваются со сложностями, требующими профессиональной юридической помощи.

Как обрабатывать ПДн работников

Обработка персональных данных работника может осуществляться исключительно в конкретных, законных целях (ст. 86 ТК РФ). Самовольный сбор или использование информации «на будущее» незаконны.

На что вы обязаны опираться при обработке ПДн сотрудников: 

1. Четкие цели: каждое действие с данными (сбор, запись, хранение, передача) должно иметь конкретную, документально зафиксированную цель. Допустимые цели:
   • Обеспечение соблюдения требований законодательства: например, передача данных в ПФР для пенсионного учета, в ФНС для расчета налогов, в военкомат по запросу.
   • Содействие в трудоустройстве, обучении и продвижении по службе: проверка рекомендаций с прошлых мест работы (с согласия работника), формирование кадрового резерва, направление на курсы повышения квалификации, рассмотрение кандидатуры на вакантную вышестоящую должность.
   • Обеспечение личной безопасности работников.
   • Контроль количества и качества выполняемой работы.
   • Обеспечение сохранности имущества.
2. Правовые основания (ст. 6, 9, 11 ФЗ-152, ст. 86 ТК РФ):
   • Письменное согласие работника: обязательно для специальных категорий и биометрических ПДн, в остальных случаях требуется для передачи данных не в госорганы (например, банку для зарплатного проекта). Пример: без согласия нельзя использовать фото сотрудника в рекламе компании или просто разместить его на сайте.
   • Исполнение трудового договора: большинство базовых ПДн (ФИО, паспорт, ИНН, СНИЛС, должность, зарплата) обрабатываются именно на этом основании для оформления приема, расчета выплат, ведения кадрового делопроизводства.
   • Выполнение обязанностей, возложенных законом на работодателя: Передача сведений в СФР для выплаты пособий, ведение воинского учета.
3. Соблюдение принципов (ст. 5 ФЗ-152):
   • Соразмерность: объем данных должен строго соответствовать заявленной цели. Запрашивать полную медицинскую карту для оформления обычного больничного — избыточно.
   • Актуальность: данные должны обновляться при изменении (например, адрес проживания, семейное положение при оформлении вычетов).
   • Конфиденциальность: доступ к ПДн имеют только уполномоченные лица (руководитель, кадровик, бухгалтер, ответственный за обработку), ознакомленные с обязанностью неразглашения.
   • Безопасность: обязательное внедрение организационных (приказы, инструкции, журналы учета) и технических мер (шифрование, антивирусы, разграничение прав доступа в ИС) защиты данных от утечек.

Кому можно передавать персональные данные

Работодатель действительно может передавать персональные данные сотрудника без его согласия третьим лицам, но исключительно в строго определенных законом случаях. Это прямо предусмотрено п.2 ч.1 ст. 6 ФЗ № 152-ФЗ.

Согласие работника не требуется, если ПДн передаются:

1. По запросу государственных органов в рамках их полномочий:
   • Правоохранительные органы (полиция, СК РФ): при проведении проверок, расследований уголовных дел или оперативно-розыскных мероприятий (на основании официального запроса). 
   • ФНС (Налоговая служба): для налогового контроля, взыскания задолженностей.
   • СФР (Социальный фонд): для пенсионного учета и назначения пенсий, выплат пособий.
   • Военные комиссариаты: для воинского учета.
2. Внутри организации (между структурными подразделениями): это не является передачей третьим лицам, так как подразделения действуют от имени одного оператора — работодателя. Например, передача данных из отдела кадров в бухгалтерию для начисления зарплаты или в службу безопасности для оформления пропуска.

Как защитить ПДн работников

Обеспечение защиты персональных данных работников — законодательная обязанность работодателя как оператора ПДн (ст. 18.1 ФЗ-152). Безопасность данных должна быть комплексной — от локальных актов до технических средств:

1. Организационные меры (ст. 18.1 ФЗ-152):

• Принятие локальных актов. Разработайте и утвердите Положение об обработке ПДн работников (ст. 86, 87 ТК РФ). В нем укажите:
  • перечень данных и цели их обработки;
  • порядок хранения, передачи и уничтожения информации;
  • список сотрудников/отделов с доступом к ПДн;
  • иные сведения, касающиеся безопасности и обработки данных. 
• Назначение ответственного за организацию обработки ПДн (п. 1 ст. 22.1 ФЗ-152).
• Ознакомление работников с Положением под подпись (при трудоустройстве).
• Регулярное обучение персонала, работающего с ПДн.

2. Технические меры (ст. 19 ФЗ-152). Защита от несанкционированного доступа, утечек и потерь данных требует:

• Контроль физического доступа — ограничение доступа в помещения с серверами/архивами, сейфы для бумажных носителей.
• Защита цифровых систем:
  • шифрование данных и VPN для удаленного доступа;
  • антивирусное ПО, регулярное обновление ПО;
  • разграничение прав доступа в корпоративных ИТ-системах (например, 1С, CRM).
• Резервное копирование данных.
• Уничтожение ПДн при увольнении работника: документы — через шредер, электронные данные — путем необратимого удаления.

3. Контроль и оценка рисков:

• Моделирование угроз (п. 2 ст. 18.1 ФЗ-152):
  Проведите аудит процессов обработки ПДн, выявите уязвимости (например, передача данных по email без шифрования).
• Определите уровень защищенности ПДн (Постановление Правительства № 1119 от 01.11.2012).
  

Пример: для базовых данных (ФИО, должность) достаточно четвертого уровня — он применяется практически всегда. Третий уровень актуален для обработки спецкатегорий ПДн и биометрии, работы с большим объемом данных — свыше 100 000 субъектов.

Важно! Обязательно подайте в Роскомнадзор уведомление о начале обработки ПДн перед тем, как начнете их собирать. Если этого не сделать, вас могут оштрафовать на сумму до 300 000 рублей. Также учтите штрафы за утечку данных, которая обычно случается из-за недостаточных мер защиты — они могут достигать 500 млн рублей (ст.13.11 КоАП РФ). 

Заключение 

Вопросы защиты персональных данных работников требуют комплексного подхода: от оценки рисков до технических мер. Штрафы за нарушения достигают 500 млн рублей, к тому же утечка ПДн портит репутацию компании в целом. Учитывая сложность законодательства и огромное количество требований, самостоятельно организовать все меры крайне тяжело. Доверьте аудит процессов и разработку документов юристам — это сэкономит ваши ресурсы и снизит все риски.