Федеральным законом от 07.02.2016 № 13-ФЗ (далее – Закон № 13-ФЗ) ужесточена административная ответственность за нарушение законодательства о защите персональных данных и дифференцирован состав административных правонарушений . С 1 июля 2017 года ответственность за несоблюдение правил о персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ), повысится в разы.

Максимальный размер штрафа для юридических лиц составит 75 тыс. руб. (сейчас – 10 тыс. руб.). Очевидно, работодателям, до сих пор не уделяющим должного внимания правилам обработки персональных данных, необходимо на этом сосредоточиться. В противном случае неосмотрительность может обернуться для них существенными финансовыми потерями

Новые административные штрафы.

Законом № 13-ФЗ заново переписаны положения ст. 13.11 КоАП РФ. Новой редакцией уточнены составы административных правонарушений по законодательству о персональных данных и увеличены размеры штрафов.

	Состав административного правонарушения	Размер штрафа,
	Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных, за исключением случаев, предусмотренных ч. 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния	Для ДЛ – от 5 до 10, для ЮЛ – от 30 до 50.
	Обработка персональных данных без согласия в письменной форме их субъекта на обработку его данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных*	Для ДЛ – от 10 до 20, для ЮЛ – от 15 до 75
	Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных	Для ДЛ – от 3 до 6, для ИП – от 5 до 10, для ЮЛ – от 15 до 30. Вместо штрафа может быть сделано предупреждение
	Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	Для ДЛ – от 4 до 6, для ИП – от 10 до 15, для ЮЛ – от 20 до 40. Вместо штрафа может быть сделано предупреждение
	Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав этих субъектов об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 45. Вместо штрафа может быть сделано предупреждение
	Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния	Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 50

* Указанный штраф налагается за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа 15 – 75 тыс. руб. в итоге может вырасти до весьма внушительных размеров.

Полномочия по возбуждению дел об административных правонарушениях по ст. 13.11 КоАП РФ переданы от прокуроров Роскомнадзору (в новой редакции п. 58 ч. 2 ст. 28.3 и ч. 1 ст. 28.4 КоАП РФ). Но рассматривать эти дела по-прежнему будут суды (ч. 1 ст. 23.1 КоАП РФ).

К сведению:

Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Ведь положениями гл. 14 ТК РФ (наравне с Законом № 152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

Прежде чем рассматривать вопрос о том, как работодателю избежать штрафов, поясним, что понимается под персональными данными, обработкой персональных данных и оператором.

Персональные данные.

Персональные данные – это информация, прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу) (ч. 1 ст. 3 Закона № 152-ФЗ). То есть она позволяет однозначно определить, о каком именно лице идет речь.

Каких-либо конкретных указаний о том, какие сведения считать персональными данными, в действующем законодательстве не содержится (их нет ни в Законе № 152-ФЗ, ни в гл. 14 ТК РФ). В нем закреплены лишь общие принципы. По сути, рассматриваемое понятие является оценочным, что дает определенный простор при квалификации тех или иных сведений о физическом лице в качестве персональных данных. Очевидно, что таковыми следует считать прежде всего сведения, на основании которых возможна безошибочная идентификация субъекта персональных данных. Такие сведения сотрудник, как правило, сообщает сам при приеме на работу. Персональные сведения могут быть получены и от третьей стороны, правда, с письменного согласия сотрудника (ч. 3 ст. 86 ТК РФ). В свою очередь, обезличенные сведения не могут быть отнесены к категории персональных данных.

• фамилия, имя, отчество;
• дата и место рождения;
• адрес (место регистрации);
• семейное, социальное и имущественное положение;
• образование, профессия;
• доходы, имущество и имущественные обязательства.

Это общие персональные данные. Помимо них, в Законе № 152-ФЗ упоминаются:

• специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение – случаи, предусмотренные ч. 2 ст. 10 названного закона;
• биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение – случаи, установленные ч. 2 ст. 11.

К сведению:

Персональные данные работников, как правило, содержатся в следующих документах:

• в паспорте или ином документе, удостоверяющем личность;
• в трудовой книжке;
• в документах о воинском учете, образовании, составе семьи;
• в справке о доходах с предыдущего места работы;
• в анкете, заполняемой при трудоустройстве;
• в личной карточке работника (форма Т-2);
• в свидетельствах о заключении брака, рождении ребенка;
• в медицинских справках; и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных.

Под обработкой персональных данных понимается любое действие (или совокупность действий), совершаемое с ними (с использованием средств автоматизации или без использования таковых). Под действием понимаются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ч. 3 ст. 3 Закона № 152-ФЗ).

Цели обработки персональных данных определены ч. 1 ст. 86 ТК РФ, а ее основные принципы – ст. 5 Закона № 152-ФЗ.

* Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливает каждый работодатель самостоятельно с соблюдением требований Трудового кодекса и иных федеральных законов (включая Закон № 152-ФЗ).

Важный нюанс: законодательством не определены требования к объему персональных данных, которые оператор (работодатель) может обрабатывать с согласия (или без) их субъекта. Следовательно, стороны вправе установить объем получаемых и обрабатываемых сведений самостоятельно. При этом нужно учесть, что требования закона к порядку получения согласия на обработку сведений и к самому порядку их обработки различаются в зависимости от вида (разряда) персональных данных.

Оператор.

Оператор – лицо, которое организует и осуществляет обработку персональных данных (ч. 2 ст. 3 Закона № 152-ФЗ).

Под приведенное определение подпадает любой работодатель (юридическое лицо или индивидуальный предприниматель), получивший персональные данные работника в свое распоряжение. Значит, с этого момента на него в соответствии с требованиями Закона № 152-ФЗ возлагаются обязанности по защите и обеспечению сохранности персональных данных работников.

Причем в соответствии с ч. 1 ст. 18.1 Закона № 152-ФЗ каждый оператор должен самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законом. Одной из этих мер является издание оператором локального нормативного акта, устанавливающего порядок обработки персональных данных работников в организации. Этого же от оператора требуют ст. 86 и 87 ТК РФ. В локальном акте (обычно он именуется Положением о персональных данных) определяются права и обязанности как субъекта персональных данных, так и оператора.

Подчеркнем: наличие обозначенного документа у работодателя обязательно. За его отсутствие специалисты Роскомнадзора могут оштрафовать оператора (и его должностных лиц) на основании ч. 3 ст. 13.11 КоАП РФ.

Требования к оформлению положения о персональных данных.

При составлении Положения о персональных данных необходимо учесть требования о получении, обработке, хранении и использовании персональных данных работников, установленные Законом № 152-ФЗ и гл. 14 ТК РФ . Исходя из названных нормативных актов, в положении о Персональных данных надо указать:

• перечень сведений, относимых к категории персональных данных;
• какие документы, содержащие персональные данные работников, оператор будет представлять в различные госструктуры (внебюджетные фонды, налоговую, трудовую инспекции, органы статистики и т. д.);
• перечень должностных лиц, наделенных полномочиями по обработке, хранению и использованию персональных данных и, соответственно, несущих ответственность за нарушение требований законодательства;
• кто и в каком порядке имеет доступ к полученным персональным данным;
• меры, направленные на сохранение и неразглашение персональных данных, а также порядок их передачи (внутри организации и третьим лицам);
• порядок предоставления субъекту персональных данных информации, касающейся обработки его данных;
• процедуру уточнения персональных данных работников, их блокировку и уничтожение;
• условия и порядок хранения персональных данных сотрудников.

Важный нюанс: работодателю следует учесть требование ч. 8 ст. 86 ТК РФ, где сказано, что работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Оператор в целях выполнения обозначенного требования может, например, оформить соответствующий журнал, в котором работники будут расписываться, подтверждая факт ознакомления. Но есть и иные способы ознакомления под роспись, например отражение данного факта в трудовом договоре.

Итак, положение о персональных данных – это, пожалуй, главный документ, наличие которого необходимо в силу законодательства. Его отсутствие может стать основанием для наложения штрафа по ч. 3 и 4 ст. 13.11 КоАП РФ. Но это не единственный документ, который оператор должен оформить для надлежащего исполнения требований закона.

Согласие на обработку и передачу персональных данных.

В части 1 ст. 9 Закона № 152-ФЗ говорится, что согласие должно быть конкретным, информированным и сознательным. Оно может быть дано субъектом персональных данных (или его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом № 152-ФЗ. Прямо о том, что согласие сотрудника на обработку персональных данных должно быть оформлено письменно, в названном законе не сказано.

Но! Частью 2 ст. 13.11 КоАП РФ определена ответственность оператора и его должностных лиц за обработку персональных данных:

• без согласия в письменной форме субъекта персональных данных на обработку его данных в случаях, когда такое согласие должно быть получено по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния;
• либо с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных.

Получается, когда действующее законодательство в области персональных данных требует получения согласия от субъекта этих данных, это согласие должно быть оформлено письменно (произвольно, так как единый бланк законодательством не предусмотрен). Ведь при возникновении спорных ситуаций доказать факт получения согласия должен именно оператор (ч. 3 ст. 9 Закона № 152-ФЗ). И письменная форма согласия в этом случае будет весьма кстати.

С учетом сказанного работодателю-оператору имеет смысл разработать и утвердить в качестве приложения к Положению о персональных данных бланк согласия работника на обработку и передачу таких данных. Добавим, что Закон № 152-ФЗ допускает оформление согласия в форме электронного документа.

Что нужно указать в согласии?

Требования к содержанию письменного согласия для случаев, когда оно необходимо в силу закона, установлены ч. 4 ст. 9 Закона № 152-ФЗ. В этом случае согласие должно включать:

1. Ф. И. О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.
2. При получении согласия от представителя работника – его Ф. И. О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.
3. Наименование или Ф. И. О. и адрес работодателя.
4. Цель обработки персональных данных.
5. Перечень персональных данных, которые подлежат обработке.
6. Ф. И. О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.
7. Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.
8. Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.
9. Подпись работника.

В иных случаях (когда законодательство не требует получение согласия сотрудника) специальных требований к содержанию согласия Законом № 152-ФЗ не установлено. Вместе с тем общее правило, предусмотренное ч. 1 ст. 9 данного закона (о конкретном, информированном и сознательном согласии), никто не отменял. Поэтому в согласии в любом случае должен быть указан конкретный объем персональных данных, цели и способы их обработки и хранения.

Когда согласие на обработку данных нужно получать, а когда – нет?

Закон № 152-ФЗ допускает обработку персональных данных сотрудников как с их согласия (п. 1 ч. 1 ст. 6), так и без него.

Здесь следует обратить внимание на Разъяснения Роскомнадзора . По мнению чиновников, обработка персональных данных работника не требует получения соответствующего согласия указанного лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленных перечней, а также соответствует целям обработки, предусмотренным трудовым законодательством (см. таблицу).

Не нужно оформлять согласие работника на обработку персональных данных, если они получены	Источник
Из документов (сведений), предъявляемых при заключении трудового договора	Статья 65, ч. 4 ст. 275 ТК РФ, п. 5 ч. 1 ст. 6 Закона № 152-ФЗ
По результатам обязательного предварительного медицинского осмотра о состоянии здоровья	Статья 69 ТК РФ, п. 3 Разъяснений Роскомнадзора
Из личной карточки или в иных случаях, установленных законодательством РФ (например, при получении алиментов, оформлении допуска к государственной тайне, оформлении социальных выплат)	Пункт 2 Разъяснений Роскомнадзора
От кадрового агентства, действующего от имени соискателя на вакантную должность	Пункт 5 Разъяснений Роскомнадзора
Из резюме соискателя, размещенного в Интернете и доступного неограниченному кругу лиц	Пункт 10 ч. 1 ст. 6 Закона № 152-ФЗ, п. 5 Разъяснений Роскомнадзора

Если персональные данные о сотруднике могут быть получены только у третьей стороны (напомним, соответствующая возможность предусмотрена ст. 86 ТК РФ), то он должен быть заранее уведомлен об этом и от него должно быть получено согласие на обработку сведений.

Согласие также необходимо, если работодатель планирует обрабатывать иные данные работника (например, контактные данные – номер сотового телефона, адрес электронной почты).

О согласии на передачу данных.

Помимо согласия на обработку данных, оператору необходимо заручиться согласием работника на их передачу третьим лицам (в том числе в коммерческих целях), что следует из абз. 2, 3 ч. 1 ст. 88 ТК РФ. В этом согласии тоже четко прописывают, какие именно операции с персональными данными совершает работодатель и какова их цель.

Обратите внимание:

Оператор должен предупредить третьих лиц о том, что персональные данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения того, что это правило соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).

В ряде случаев согласие сотрудника на передачу персональных данных третьим лицам оформлять не требуется. Представим эти случаи в таблице.

Согласие не оформляется при передаче данных*	Источник
Третьим лицам в целях предупреждения угрозы жизни и здоровью работника	Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора
Во внебюджетные фонды	Абзац 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора
В налоговые органы и военные комиссариаты	Подпункты 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем	Статья 370 ТК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
По мотивированному запросу органов прокуратуры и правоохранительных органов	Абзац 7 п. 4 Разъяснений Роскомнадзора
По запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности	Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора
В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом	Абзац 5 ст. 228 ТК РФ

* Члены семьи, страховые компании, кредитные учреждения, благотворительные организации, негосударственные пенсионные фонды и иные аналогичные организации в указанный перечень третьих лиц не вошли. Поэтому передать упомянутым лицам персональные данные сотрудника оператор вправе только с его письменного согласия.

«О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Текст нормативного акта напечатан в «Актах и комментариях для бухгалтера», № 3, 2017.

«О персональных данных».

См. Постановление ФАС СКО от 11.03.2014 по делу № А53-10287/2013.

Положение о персональных данных, как и любой другой локальный нормативный акт, утверждается руководителем организации. При наличии в организации представительного органа работников (профсоюза) обозначенный документ должен приниматься с учетом требований, установленных ст. 372 ТК РФ.

«Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве». Размещены на официальном сайте ведомства www.rsoc.ru 24.12.2012.

Актуальные вопросы бухгалтерского учета и налогообложения, №3, 2017 год

Уполномоченные лица должны быть ознакомлены с положениями документа и предупреждены о своих правах и обязанностях, а также об ответственности за использование сведений не по назначению (п. 8 ч. 1 ст. 86 ТК РФ). Из ответа «Как организовать обработку персональных данных сотрудников» Подробнее о доступе к персональным данным мы писали здесь. 2. Ответ: Вправе ли руководитель структурного подразделения требовать от бухгалтерии предоставления ежемесячной информации о начисленной зарплате подчиненных ему сотрудников Нина Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России Сведения о начисленных сотрудникам суммах относятся к персональным данным (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

Как организовать защиту персональных данных сотрудников

Для этого следует вести специальные журналы учета. Журнал учета внутреннего доступа к персональным данным работников В журнале учета внутреннего доступа к персональным данным работников указывают: дату выдачи и возврата документов (личных дел) работникам организации; цели выдачи, наименование выдаваемых документов, срок пользования. Если документов было много, и их выдавали по описи, при возврате нужно проверить их наличие по описи. Сотрудник, возвращающий документы, обязан присутствовать при этом.
Выдавая документы, предупредите, что делать в них пометки и исправления, вносить новые записи, извлекать документы (например, из личного дела) или помещать новые нельзя.

Кто может иметь доступ к персональным данным работников?

Внимание

Увольнение по этому основанию является мерой дисциплинарного воздействия, поэтому при его осуществлении следует соблюдать порядок наложения дисциплинарного взыскания, предусмотренный ст.193 ТК РФ. В случае оспаривания работником увольнения по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые трудящийся разгласил, относятся к личным данным другого сотрудника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей, и он обязывался не разглашать такие сведения (п.43 Постановления Пленума ВС РФ «О применении судами РФ Трудового кодекса РФ»). Судебная практика Н. обратился в суд с иском о признании увольнении незаконным, возмещении морального вреда.

В судебном заседании было установлено, что Н. работал электромонтером и был вызван в отдел кадров для устранения порыва телефонного кабеля.

Рубрики

Разработать внутренний регламент требует и Закон № 152-ФЗ. Каких-либо требований или унифицированной формы положения нет, исходя из требований законодательства основные разделы, положения приведены в таблице 2. Положение утверждается приказом коммерсанта. Затем все работники под роспись должны быть ознакомлены с этим документом.

Можно сделать отдельный журнал (лист) со списком сотрудников, где каждый напротив свой фамилии поставит подпись и дату. Для работников, которые будут оформляться после утверждения положения, факт ознакомления можно зафиксировать в тексте трудового договора. Далее следует установить перечень сотрудников, которым будет разрешен доступ к персональным данным.

Обработка персональных данных сотрудника — сроки и виды

• Темы:
• Персональные данные

Вопрос Как поступить, чтобы не нарушить закон о персональных данных — возникла такая ситуация: заведующий Лабораторией захотел ознакомиться с личным листком подчиненного ему сотрудника, в котором содержаться, соответственно, персональные данные этого сотрудника. Должен ли специалист Отдела кадров предоставить заведующему Лабораторией личный листок его подчиненного или только директор учреждения должен знать личную информацию о сотрудниках? Спасибо. Ответ Ответ на вопрос: Согласно статье 88 Трудового кодекса РФ, доступ к персональным данным сотрудников могут иметь только специально уполномоченные лица, которым такой доступ необходим для выполнения конкретных функций.

Персональные данные работника

Уровни доступа тех или иных лиц, а также конкретный порядок передачи персональных данных сотрудников внутри организации должен быть прописан в ее локальных документах, например в Положении о защите персональных данных сотрудников (абз. 5 ст. 88 ТК РФ). Уполномоченные лица должны быть ознакомлены с положениями документа и предупреждены о своих правах и обязанностях, а также об ответственности за использование сведений не по назначению (п. 8 ч. 1 ст. 86 ТК РФ). Таким образом, заведующий лабораторией может запрашивать персональные данные подчиненного, если соответствующий допуск установлен в локальном нормативном акте и получено согласие сотрудника на обработку его персональных данных, и только в том случае, если это необходимо для выполнения заведующим его должностных обязанностей.
Все о проверке персональных данных при приеме на работу вы узнаете, если прочитаете материал по ссылке.
Проследить за этим сложно, но обезопасить себя коммерсант сможет, если получит от работника письменное обязательство о неразглашении данных. Таблица 2 Основные разделы, которые должны содержаться в положении о персональных данных работников № п/п Раздел Содержание 1 Общие положения Цель создания документа (защита данных), вопросы, которые регулирует положение (порядок получения, обработки, хранения), ссылки на нормативные документы, на основании которых разработано положение (Конституция, Трудовой кодекс, Закон о защите персональных данных) 2 Понятия и состав персональных данных Все определения, связанные с персональными данными («персональные данные», «обработка персональных данных» и др.) можно взять из статьи 3 Закона № 152-ФЗ, а также статьи 85 ТК РФ.
Обязанности работодателя Требования, которые должен соблюдать работодатель, названы в статье 88 ТК РФ, а также статьях 18 – 21 Закона № 152-ФЗ 4 Обязанности работника Отдельной статьи, регулирующий этот вопрос, нет. Но в числе обязанностей работника можно назвать обязанность передавать работодателю документы, содержащие персональные данные, перечень которых установлен трудовым и налоговым законодательством, а также своевременно сообщать работодателю об изменении персональных данных 5 Права работника Права работника перечислены в статье 89 ТК РФ 6 Обработка персональных данных Обработка персональных данных работника – это получение, хранение, комбинирование любое другое использование информации о работнике. Общие требования, которые должны соблюдаться при обработке приводятся в статье 86 ТК РФ, а также в статьях 6 и 9 Закона № 152-ФЗ.

Инфо

Для выпуска пластиковых карт банку были переданы заполненные и подписанные работниками анкеты-заявления с их личными данными. Анкета-заявление Д. им подписана не была, согласие на передачу своих персональных данных он не давал. Исковые требования судом были удовлетворены, несмотря на то, что полученной пластиковой карточкой Д.

активно пользовался.

Когда за разглашение информации могут уволить Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Об этом прямо указано в п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ. К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных.

Коммерсант как работодатель обрабатывает персональные данные сотрудника для выполнения своих обязанностей, как стороны трудового договора, а именно составление отчетности, представление сведений о доходах, удержание и перечисление налога, то есть выполняет требования закона. Тем не менее, многие работодатели перестраховываются и запрашивают согласие у всех сотрудников, поскольку формулировки Закона № 152-ФЗ нечеткие, а в Трудовом кодексе эта ситуация не оговаривается. Кроме того, если предполагается какое-либо иное использование персональных данных, выходящее за рамки Трудового кодекса, скажем, размещение информации о сотруднике на стенде или интернет-сайте, использование фамилии сотрудника в его электронном адресе, оформление визитных карточек сотруднику, то согласие лучше получить.

Как поступить, чтобы не нарушить закон о персональных данных - возникла такая ситуация: заведующий Лабораторией захотел ознакомиться с личным листком подчиненного ему сотрудника, в котором содержаться, соответственно, персональные данные этого сотрудника. Должен ли специалист Отдела кадров предоставить заведующему Лабораторией личный листок его подчиненного или только директор учреждения должен знать личную информацию о сотрудниках? Спасибо.

Ответ

Ответ на вопрос:

Таким образом, заведующий лабораторией подчиненного, если соответствующий установлен в локальном нормативном акте и сотрудника на обработку его персональных данных, и только в том случае, если это необходимо для выполнения заведующим его должностных обязанностей.

С уважением и пожеланием комфортной работы, Юлия Месхия,

эксперт Системы Кадры

Редакция журнала «Кадровое дело» выяснила, какие привычки кадровиков отнимают много времени, но при этом почти бесполезны. А некоторые из них даже могут вызвать недоумение у инспектора ГИТ.

Инспекторы ГИТ и Роскомнадзора рассказали нам, какие документы теперь ни в коем случае нельзя требовать у новичков при трудоустройстве. Наверняка какие-то бумаги из этого списка есть у вас. Мы составили полный список и подобрали для каждого запретного документа безопасную замену.

Если выплатите отпускные на день позже срока, компанию оштрафуют на 50 000 руб. Уменьшите срок уведомления о сокращении хотя бы на день – суд восстановит сотрудника на работе. Мы изучили судебную практику и подготовили для вас безопасные рекомендации.

Персональные данные работника – это информация, необходимая работодателю в связи
с трудовыми отношениями и касающаяся конкретного работника. А именно:

• паспортные данные;
• семейное положение;
• сведения об образовании;
• номер страхового свидетельства обязательного пенсионного страхования;
• сведения о трудовой деятельности и др.

Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

Понятие персональных данных содержит Перечень сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении сведений конфиденциального характера»). Это сведения о фактах, событиях и обстоятельствах частной жизни человека.

Как получать персональные данные

Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные
о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника. При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также
о последствиях отказа работника дать письменное согласие на получение этих сведений.

Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.

Главная цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.

Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Не допускается передача личных сведений о работнике с коммерческой целью. Передача таких сведений без письменного согласия возможна только в случаях:

• это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
• это предусмотрено федеральным законом (например, ст. 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур).

Работодатель обязан соблюдать конфиденциальность при работе с персональными данными работников. Для этого следует вести специальные журналы учета.

Журнал учета внутреннего доступа к персональным данным работников

В журнале учета внутреннего доступа к персональным данным работников указывают: дату выдачи и возврата документов (личных дел) работникам организации; цели выдачи, наименование выдаваемых документов, срок пользования. Если документов было много, и их выдавали по описи, при возврате нужно проверить их наличие по описи. Сотрудник, возвращающий документы, обязан присутствовать при этом. Выдавая документы, предупредите, что делать в них пометки и исправления, вносить новые записи, извлекать документы (например, из личного дела) или помещать новые нельзя.

В журнале учета выдачи персональных данных работников организациям и государственным органам регистрируют: поступающие запросы (дату получения, номер и дату входящего документа, от какого органа получен запрос); дату передачи персональных данных; содержание переданной информации; дату уведомления об отказе в предоставлении информации (в случае такового).

Кроме того, кадровик должен регулярно проверять наличие документов и других носителей информации, содержащих персональные данные работников. Для этого также следует вести специальный журнал.

Какие сведения указывают в Положении о защите персональных данных

Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных. Это обязательный внутренний (локальный) документ фирмы, его разрабатывает кадровая служба.

Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника ТК РФ.

В Положении должно быть указано:

• цель и задачи фирмы в области защиты персональных данных;
• понятие и состав персональных данных;
• в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
• как происходит сбор персональных данных;
• как они обрабатываются и используются;
• кто (по должностям) в компании имеет к ним доступ;
• как персональные данные защищаются от несанкционированного доступа;
• права работника в целях обеспечения защиты своих персональных данных;
• ответственность за разглашение конфиденциальной информации, связанной
  с персональными данными работников.

Кто утверждает Положение о защите персональных данных Положение
о защите персональных данных работника

Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя.

Положение о защите персональных данных выглядит так:

Кто имеет доступ к персональным данным

Каждый работник, который в силу своих должностных обязанностей имеет доступ
к персональным данным других работников, должен подписать обязательство об их неразглашении.

Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют
в виде приложения к Положению.

В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, руководители структурных подразделений (например, главный бухгалтер, начальники отделов). Однако последние вправе запрашивать только те данные, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Оформляют приложение так:

Работодатель обязан ознакомить работника с Положением о защите персональных данных, а работник – расписаться в этом. Факт ознакомления обычно оформляют распиской, которая остается у работодателя. Вот ее образец:

Должен ли расчетчик зарплаты сообщать персональные данные главному бухгалтеру или директору?

Персональные данные сотрудников в том числе: паспортные данные, сумма заработной платы за месяц. Должен ли расчетчик зарплаты сообщать их главному бухгалтеру или директору своего предприятия?

Вопрос. Должен ли расчетчик зарплаты сообщать какие-либо персональные данные сотрудников (паспортные данные или сумму заработной платы за месяц) главному бухгалтеру или директору своего предприятия?

Ответ. Должен, если предоставление персональных данных сотрудников главному бухгалтеру или директору закреплено в локальном акте предприятия и получено согласие сотрудника на обработку его персональных данных.

В общем случае, доступ к персональным данным сотрудников могут иметь только специально уполномоченные лица, которым такой доступ необходим для выполнения конкретных функций. Об этом говорится в статье 88 Трудового кодекса РФ.

Отметим, что работодатель самостоятельно разрабатывает систему защиты персональных данных работников. Для этого необходимо разработать специальный локальный акт, например, Положение о защите персональных данных. Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации. Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.

Перечень лиц, имеющих доступ к персональным данным работников и уровни доступа тех или иных лиц, а также конкретный порядок передачи персональных данных сотрудников внутри организации должен быть определен работодателем. Эти условия могут быть прописаны в Положении о защите персональных данных сотрудников (абз. 5 ст. 88 ТК РФ). Уполномоченные лица должны быть ознакомлены с положениями документа и предупреждены о своих правах и обязанностях, а также об ответственности за использование сведений не по назначению (п. 8 ч. 1 ст. 86 ТК РФ).

Между тем порядок доступа к персональным данным законом не установлена. И такой доступ можно оформить приказом организации. В таком приказе следует отразить, кто (должность, Ф.И.О.), к каким персональным данным и с какой целью (какие действия выполняет с использованием персональных данных работников) имеет доступ:

Общество с ограниченной ответственностью "Юность"

Об установлении перечня лиц, имеющих доступ

к персональным данным работников

В соответствии со ст. 88 ТК РФ и п. 4.1 Положения о персональных

данных ООО "Юность"

ПРИКАЗЫВАЮ:

1. Определить перечень работников Общества, имеющих доступ к

персональным данным сотрудников, согласно приложению к настоящему приказу.

2. Контроль исполнения приказа возложить на начальника отдела кадров

Орлову И.В.

Генеральный директор Богатов Т.С. Богатов

Приложение к приказу от 03.02.2015 N 16

Перечень сотрудников, имеющих доступ к работе с персональными данными

N	Должность	Фамилия, имя, отчество	Основания для доступа	Цели обработки	Состав персональных данных
1	Главный бухгалтер	Воробьева Алевтина Николаевна	Расчет зарплаты и налогообложение	Начисление зарплаты, исчисление, удержание и перечисление НДФЛ, страховых взносов, составление отчетности	Фамилия, имя, отчество, ИНН, СНИЛС, регистрация по месту жительства, банковские данные
2	Менеджер по персоналу	Кириллова Анна Олеговна	Кадровое делопроизводство и кадровый учет	Отражение в документации по личному составу, составление отчетности, взаимодействие с негосударственным пенсионным фондом	Фамилия, имя, отчество, ИНН, регистрация по месту жительства, паспортные данные, номер СНИЛС
3	Офис-менеджер	Валуева Ольга Юрьевна	Взаимодействие с клиентами, заказчиками, представительские функции	Оформление пропусков и допусков, служебных поездок, доверенностей	Фамилия, имя, отчество, регистрация по месту жительства, паспортные данные

С приказом ознакомлены:

Воробьева А.Н. Воробьева 03.02.2015

Орлова И.В. Орлова 03.02.2015

Кириллова А.О. Кириллова 03.02.2015

Валуева О.Ю. Валуева 03.02.2015

Какие персональные данные сотрудника вправе получить организация

В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников , - ведомости по зарплате, личные карточки , личные дела и другие. Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.

Будьте внимательны: сведения о зарплате - также персональные данные. Об этом сказано в письме Роскомнадзора от 7 февраля 2014 № 08КМ-3681 . За то, что бухгалтер неправильно хранит или защищает данные о начислениях и выплатах сотрудникам, предусмотрена ответственность . Например, без согласия сотрудника нельзя сообщать его бывшей жене информацию о зарплате.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ и Закона от 27 июля 2006 № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника ().

Общедоступные персданные

Какие персональные данные считаются общедоступными

Общедоступная информация - это общеизвестные сведения и иная информация, доступ к которой не ограничен. Такая информация может использоваться любыми лицами по их усмотрению при соблюдении законно установленных ограничений на ее распространение. Об этом говорится в пунктах , статьи 7 Закона от 27 июля 2006 № 149-ФЗ.

Общедоступные персональные данные - данные, которые субъект персональных данных сделал таковыми. К общедоступным персональным данным могут относиться сведения, доступные неограниченному кругу лиц (например, данные из открытых справочников, адресных книг и др.).

Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.

При обработке таких данных оператору не нужно уведомлять об этом уполномоченный орган по защите прав субъектов персональных данных (п. 4 ч. 2 ст. 22 Закона от 27 июля 2006 № 152-ФЗ).

Согласие на обработку персданных

Как получить согласие сотрудника на обработку его персональных данных

По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников . Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;

наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;

срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;

подпись сотрудника.

Такие требования установлены в части 4

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27 июля 2006 № 152-ФЗ).

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме . В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 № 152-ФЗ).

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 № 152-ФЗ).

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей, а также от лиц, с которыми заключены в организации гражданско-правовые договоры . Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012.

Ситуация: что следует понимать под обработкой персональных данных сотрудника

Защита персональных данных

Как организовать защиту персональных данных сотрудников в организации

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в (ст. , ТК РФ, ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации. Об этом говорится в части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме .

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в Закона от 27 июля 2006 № 152-ФЗ и Требованиях , утвержденных . На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

уничтожение;

изменение;

блокирование;

копирование;

предоставление;

распространение;

иные неправомерные действия с персональными данными.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. , Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13-16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119 . Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер , утвержденными приказом ФСТЭК России от 18 февраля 2013 № 21 .

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119).

Положение о персональных данных

Ситуация: является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников . Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 № КА-А40/10220-06).

Пример, как оформить Положение о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников .

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Ситуация: как защитить персональные сведения, находящиеся в компьютерной базе данных

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8?16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119 .

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119 .

Ситуация: можно ли не работающим в службе персонала сотрудникам предоставить право доступа к персональным данным других сотрудников

Да, можно, если доступ к таким сведениям необходим сотрудникам для выполнения определенных трудовых функций.

Доступ к персональным данным сотрудников могут иметь только специально уполномоченные лица, которым такой доступ необходим для выполнения конкретных функций. Об этом говорится в Трудового кодекса РФ.

Как правило, доступ к персональным данным сотрудников в силу специфики деятельности должны иметь:

сотрудники службы персонала;

сотрудники бухгалтерии;

генеральный директор и при необходимости его заместители;

руководители подразделений и непосредственные руководители.

При этом каждой из указанных категорий сотрудников устанавливается свой уровень доступа. Так, например, сотрудникам бухгалтерии может быть предоставлен доступ в части адресных данных сотрудников и их семейного положения, руководителям подразделений - в части персональных сведений исключительно по своим подчиненным.

Уровни доступа тех или иных лиц, а также конкретный порядок передачи персональных данных сотрудников внутри организации должен быть прописан в ее локальных документах, например в Положении о защите персональных данных сотрудников (абз. 5 ст. 88 ТК РФ). Уполномоченные лица должны быть ознакомлены с положениями документа и предупреждены о своих правах и обязанностях, а также будет выполнено, и организация сможет разместить персональные данные сотрудников, согласных с таким размещением, на корпоративном сайте.

В целях обеспечения прав своих сотрудников организация и ее представители при обработке персональных данных обязаны соблюдать требования, регламентируемые Трудового кодекса РФ. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к административной и уголовной ответственности (). Или могут быть уволены с формулировкой «за разглашение персональных данных другого сотрудника на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса РФ». сотрудника на обработку его персональных данных.

Вместе с тем, информацию об окладах и надбавках сотрудников содержит штатное расписание. Штатное расписание является локальным документом организации и к персональным данным не относится. Руководитель структурного подразделения при необходимости может обращаться к данному документу, если это предусмотрено должностной инструкцией руководителя или локальным актом организации. Это позволит ему получить необходимые сведения без обращения в бухгалтерию.

Отвечает Владислав Волков,

заместитель начальника Управления налогообложения доходов физических лиц и администрирования страховых взносов ФНС России

«Инспекторы сравнят доходы физлиц в 6-НДФЛ с суммой выплат в расчете по страховым взносам. Такое контрольное соотношение инспекторы станут применять с отчетности за I квартал. Все контрольные соотношения для проверки 6-НДФЛ приведены в . Инструкцию и образцы заполнения 6-НДФЛ за I квартал смотрите в рекомендации.»

---