Персональные данные работников организации

Ирина Козикова
адвокат

Матвей Городник
юрист

01.09.2021

15.11.2021 вступает в силу Закон от 07.05.2021 № 99-З «О защите персональных данных». В материале разобрано, что относится к персональным данным, когда кадровой службе не нужно разрешение работника на их обработку и какие правила работы с ними нужно знать.

Понятие персональных данных и их обработки

Законом № 99-З вводится понятие персональных данных.

Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (абз.9 ст.1 Закона № 99-З).

Физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности (абз.17 ст.1 Закона № 99-З).

Фактически, для целей Закона № 99-З персональными данными будут считаться любые сведения в любой форме, как по отдельности, так и своей совокупности позволяющие отличить одного человека от другого.

Таким образом, законодатель избрал широкий подход к пониманию персональных данных, не ограничиваясь исчерпывающим перечнем. Даже если информация напрямую не идентифицирует какое-либо лицо, но в совокупности с другими данными позволяет это сделать, она будет считаться персональными данными по смыслу Закона № 99-З.

Персональные данные в кадровой службе

Кадровая служба организации оперирует, как правило, следующими документами, содержащими персональные данные работника:

• паспорт;

• военный билет;

• трудовая книжка;

• свидетельство о заключении и о расторжении брака;

• свидетельства о рождении детей;

• дипломы, аттестаты, сертификаты, свидетельства и иные документы, подтверждающие получение образования, ученую степень, ученое звание, повышение квалификации, прохождение переподготовки;

• свидетельство государственного социального страхования;

• справки о состоянии здоровья;

• номер счета в банке;

• автобиография.

Представляется, что информацию о работнике, содержащуюся во всех указанных выше документах, можно отнести к персональным данным.

Обработка персональных данных

Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (абз.6 ст.1 Закона № 99-З).

Следовательно, наиболее широким понятием, описывающим какие-либо действия в отношении персональных данных, является обработка персональных данных.

Необходимость получения нанимателем согласия работника на обработку персональных данных

Общее правило обработки персональных данных заключается в том, что такая обработка может осуществляться только с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами (п.3 ст.4 Закона № 99-З).

Напомним, что до момента вступления в силу Закона № 99-З сбор, обработка, хранение информации о частной жизни физического лица и персональных данных, а также пользование ими осуществляются с письменного согласия данного физического лица, если иное не установлено законодательными актами Республики Беларусь (ч.2 ст.18 Закона от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»). При этом каких-либо исключений в отношении персональных данных работников не устанавливалось.

От редакции «Бизнес-Инфо» С 13 октября 2022 г. сбор, обработка, хранение, предоставление, распространение информации о частной жизни физического лица, а также пользование ею и обработка персональных данных осуществляются с согласия данного физического лица, если иное не установлено законодательными актами (ч.2 ст.18 Закона № 455-З в ред. Закона от 10.10.2022 № 209-З).

Однако в Законе № 99-З содержится нововведение, касающееся обработки персональных данных в рамках трудовых правоотношений, заключающееся в том, что теперь для этого не потребуется согласие работника.

Так, согласие субъекта персональных данных на обработку персональных данных не требуется при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством (абз.8 ст.6 Закона № 99-З).

Таким образом, с момента вступления в силу Закона № 99-З отпадает необходимость получать согласие субъекта персональных данных на обработку его данных, если имеет место оформление трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности в установленных случаях.

Три случая обязательного представления персональных данных работником

Законодательством установлены случаи, когда работник обязан представить персональные данные.

1. При заключении трудового договора

Наниматель обязан потребовать, а гражданин должен предъявить нанимателю (ч.1 ст.26 ТК):

1) документ, удостоверяющий личность; документы воинского учета (для военнообязанных и лиц, подлежащих призыву на воинскую службу);

2) трудовую книжку, за исключением впервые поступающего на работу и совместителей;

3) документ об образовании или документ об обучении, подтверждающий наличие права на выполнение данной работы;

4) направление на работу в счет брони для отдельных категорий работников в соответствии с законодательством;

5) индивидуальную программу реабилитации инвалида (для инвалидов);

6) декларацию о доходах и имуществе, страховое свидетельство, медицинскую справку о состоянии здоровья и другие документы о подтверждении иных обстоятельств, имеющих отношение к работе, если их предъявление предусмотрено законодательными актами.

2. При изменении фамилии в связи с заключением (расторжением) брака

В случае изменения фамилии в связи с заключением или расторжением брака работник должен представить свидетельство о заключении (расторжении) брака, чтобы наниматель смог внести изменения в трудовую книжку работника (п.51 Инструкции о порядке ведения трудовых книжек, утв. постановлением Минтруда и соцзащиты от 16.06.2014 № 40).

3. Для получения налогового вычета

Работник, имеющий детей в возрасте до 18 лет и желающий получить стандартный налоговый вычет при уплате подоходного налога, исходя из подп.1.2 п.1 ст.209 НК должен представить нанимателю копии свидетельств о рождении детей.

От редакции «Бизнес-Инфо» С 1 января 2024 г. стандартный налоговый вычет, установленный в ч.1 подп.1.2 п.1 ст.209 НК в ред. Закона от 27.12.2023 № 327-З, составляет 51 руб. в месяц на ребенка до 18 лет и (или) каждого иждивенца. Комментарии см. здесь.

Случаи, когда наниматель вправе получать информацию о персональных данных

Также законодательством могут быть установлены случаи, когда наниматель вправе получать информацию (персональные данные) о работнике.

Так, информацию о дате рождения, образовании, повышении квалификации, трудовой деятельности работника, наличии у него поощрений и правительственных наград наниматель может получить с предыдущих мест работы работника, запросив характеристику на работника (п.11 Декрета от 15.12.2014 № 5 «Об усилении требований к руководящим кадрам и работникам организаций»).

От редакции «Бизнес-Инфо» С 24 октября 2021 г. наниматели вправе при приеме на работу работника запрашивать характеристику с предыдущих мест его работы, которая выдается в течение 7 календарных дней со дня получения соответствующего запроса. При приеме на работу работника в государственные органы, иные государственные организации, а также организации, более 50 % акций (долей в уставном фонде) которых находится в государственной собственности, наниматели обязаны, если иное не установлено законодательными актами, запрашивать: • характеристику с предыдущего места его работы; • характеристику из государственной организации, являвшейся местом его работы в течение предшествующих 5 лет. В случае, если таким местом работы являлось несколько государственных организаций, характеристика запрашивается по последнему из них; • сведения из единого государственного банка данных о правонарушениях в отношении кандидатов на руководящие должности. Такие сведения предоставляются бесплатно (п.11 Декрета № 5 в ред. Декрета от 12.10.2021 № 6). Комментарии см. здесь.

Полагаем, что в указанных случаях, а также при обработке иных персональных данных, если имеет место оформление трудовых (служебных) отношений и в процессе трудовой (служебной) деятельности в установленных случаях, нанимателю не требуется получать согласие работника на обработку его персональных данных.

Меры обеспечения защиты персональных данных

Статья 17 Закона № 99-З устанавливает обязанность принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, определяется нанимателем самостоятельно.

В то же время закрепляется перечень обязательных мер обеспечения защиты персональных данных:

• назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

• издание документов, определяющих политику в отношении обработки персональных данных;

• ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством.

Справочно Порядок обучения работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, еще не установлен;

• установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

• осуществление технической и криптографической защиты персональных данных в порядке, установленном ОАЦ, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

Что касается технической и криптографической защиты персональных данных, то на текущий момент классификация информационных ресурсов (систем), содержащих персональные данные, пока что не издана.

В то же время действующее законодательство, а именно ч.4 ст.28 Закона № 455-З, требует, чтобы персональные данные обрабатывались в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном ОАЦ.

Порядок аттестации информационных систем ОАЦ установлен давно, и он определен в Положении о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, и Положении о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утв. приказом ОАЦ от 20.02.2020 № 66.

Пройти аттестацию для класса информационной системы 3-ФЛ (информационные системы, в которых обрабатываются информация о частной жизни физического лица и персональные данные, иная информация, составляющая охраняемую законом тайну физического лица, распространение и (или) предоставление которой ограничено, и которые подключены к открытым каналам передачи данных) возможно у одного из лицензиатов ОАЦ, указанных в перечне, приведенном на сайте.

Тем не менее, какие-либо особенности для каждого конкретного класса информационного ресурса (системы), содержащего персональные данные, будут закреплены только после издания соответствующей классификации.

Ответственность за несоблюдение мер обеспечения защиты персональных данных

Несоблюдение мер обеспечения защиты персональных данных физических лиц влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя - от десяти до двадцати пяти базовых величин, а на юридическое лицо - от двадцати до пятидесяти базовых величин (ч.4 ст.23.7 КоАП).

Требования к работе с документами, содержащими наиболее важные персональные данные работников

В законодательстве также имеются специальные требования по работе с некоторыми документами, содержащими наиболее важные персональные данные работников:

• трудовые книжки и документы воинского учета должны храниться в специальных оборудованных местах; трудовые книжки - в несгораемых шкафах, сейфах (ч.1 п.80 Инструкции № 40);

• доступ к личным делам работников должны иметь только лица, уполномоченные приказом руководителя организации, и сам руководитель организации (пп.3 и 4 Инструкции о порядке формирования, ведения и хранения личных дел работников, утв. постановлением Комитета по архивам и делопроизводству при Совмине от 26.03.2004 № 2).

От редакции «Бизнес-Инфо» С 2 июня 2024 г. следует руководствоваться п.3 Инструкции о порядке формирования, ведения и хранения личных дел работников, утв. постановлением Минюста от 23.05.2024 № 29;

• законодательно установлены сроки хранения документов с персональными данными. Личные дела работников должны храниться в течение 75 лет с момента их завершения (п.638.3 перечня типовых документов национального архивного фонда Республики Беларусь, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, с указанием сроков хранения, утв. постановлением Минюста от 24.05.2012 № 140), приказы о приеме на работу (назначении на должность), переводе на другую постоянную работу, перемещении, увольнении (освобождении от занимаемой должности), награждении, поощрении, премировании, продлении трудовых договоров (контрактов), заключении новых трудовых договоров (контрактов), изменении условий трудовых договоров (контрактов), переводе на контрактную форму найма, установлении надбавок, доплат, временном переводе, отстранении от работы, допуске к работе, установлении (отмене) неполного рабочего времени, присвоении квалификационных категорий, разрядов, классов, повышении тарифных ставок (тарифных окладов), окладов, должностных окладов, длительных (более месяца) служебных командировках в пределах Республики Беларусь и за границу, предоставлении социальных отпусков, изменении фамилии, собственного имени, отчества (если таковое имеется) работников - в течение 75 лет с даты издания (п.21.3 перечня).

От редакции «Бизнес-Инфо» С 27 октября 2022 г. следует руководствоваться подп.21.3 п.21 и подп.673.3 п.673 Перечня № 140 в ред. постановления Минюста от 30.08.2022 № 115. Комментарий см. здесь.

Обработка персональных данных уполномоченным лицом

Если персональные данные обрабатываются не самим оператором, а передаются на «аутсорсинг» уполномоченному лицу (например, какой-либо бухгалтерской или аудиторской фирме), то:

а) это уполномоченное лицо обязано соблюдать требования Закона № 99-З и иных актов Беларуси в области защиты персональных данных;

б) с этим уполномоченным лицом необходимо заключить договор, в котором должны быть определены:

- цели обработки персональных данных;

- перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;

- обязанности по соблюдению конфиденциальности персональных данных;

- меры по обеспечению защиты персональных данных в соответствии со ст.17 Закона № 99-З (ч.1 ст.7 Закона № 99-З).

Согласия на обработку таких данных уполномоченное лицо получать не должно. Всю ответственность перед работником в любом случае будет нести наниматель, действующий в качестве оператора (ч.2 и 3 ст.7 Закона № 99-З).

Трансграничная передача персональных данных

Справочно Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства (абз.14 ст.1 Закона № 99-З).

Статья 9 Закона № 99-З прямо закрепляет возможность осуществления трансграничной передачи персональных данных, то есть их предоставления на территорию иностранного государства.

Так, по общему правилу трансграничная передача персональных данных запрещается, если в другом государстве не обеспечивается надлежащий уровень их защиты (перечень таких государств будет определен в последующем).

В то же время передача персональных данных на территорию таких государств в отдельных случаях допускается. К примеру, если на то дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты.

Трудовая деятельность в перечень таких исключений не входит.

Таким образом, если персональные данные будут передаваться на территорию иностранного государства, не обеспечивающего надлежащий уровень их защиты, при отсутствии иных исключений согласно ч.1 ст.9 Закона № 99-З, нанимателю потребуется получить согласие работника и проинформировать его о рисках, возникающих в связи с отсутствием надлежащего уровня защиты его персональных данных.

Дополнительно по теме • Алгоритм принятия решения о способе организации контроля за обработкой персональных данных и введения в штат должности DPO (data protection officer, менеджера (специалиста, инженера) по защите персональных данных) ответственного за осуществление внутреннего контроля за обработкой персональных данных.