Дорогие читатели! Обратите внимание, в последнее время Роскомнадзор часто решает, что работодатель собирает «лишние» персональные данные, если отдел кадров хранит копии паспортов сотрудников, свидетельств о браке, рождении детей, дипломов, снилс и т. д. Штраф за одно такое нарушение достигает 50 000 рублей.

Как отметил Роструд, работодатель должен получить письменное согласие работников на хранение персональных данных.

Штраф за хранение копии паспорта без такого согласия предусмотрен статьей 13.11 КоАП РФ и составляет для юридических лиц от 30 до 50 тыс. руб.

В этой статье разберём, как обезопасить себя, если вы получаете у сотрудников копии личных документов.

Проблема: копии личных документов часто требуются, чтобы предоставить сотруднику или членам его семьи гарантии и компенсации, пособия, льготы, путевки, вычеты по НДФЛ и т. п.

Однако трудовой кодекс хранение копий в личных делах не предусматривает. Если они понадобились вам для конкретной цели, каждый раз получайте их у сотрудника и оформляйте отдельное согласие на обработку данных. Такие случаи возникают нечасто и в них всегда заинтересован работник.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Новосибирск

05.09.2018

Я, Петрова Елена Ивановна, паспорт 2495 564738, выдан Ленинским РОВД г. Новосибирск, адрес регистрации: г. Новосибирск, ул. Мельничная д.73, кв. 8, даю свое согласие АО «Агрофирма Буренка» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), свидетельств, справок, а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений (предоставления льгот, пособий, компенсаций и вычетов), а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в том числе передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что АО «Агрофирма Буренка» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что, давая согласие, я действую без принуждения, по собственной воле и в своих интересах.

Петрова Е.И. (подпись)

 

За хранение копий в личных делах на постоянной основе компанию могут привлечь к административной ответственности. Нарушает ли работодатель законодательство о персональных данных, проверяет Роскомнадзор. Если случаи хранения копий выявит инспектор государственной трудовой инспекции, то передаст такую информацию в это ведомство.

Если копии необходимо получить в силу закона. По общему правилу, представители компании не должны снимать копии с документов, которые приносит сотрудник. Например, при приеме на работу он лишь показывает паспорт, диплом, военный билет и проч. Кадровик проверяет эти документы и возвращает работнику (ст. 65 ТК РФ, постановление Пятнадцатого арбитражного апелляционного суда от 14 марта 2014 по делу № А53-12557/2013).

Часто работодатели прописывают в трудовых договорах условие, что сотрудник дает согласие на обработку любых персональных данных на все время работы в компании. Однако это неправильно: нужно запрашивать у сотрудника отдельное согласие на те или иные действия с его персональными данными в конкретной ситуации. Условие в трудовом договоре о том, что работник заранее на все согласился, будет ухудшать его положение по сравнению с законом (ч. третья ст. 57 ТК РФ).

Случаев, когда работодатель по закону обязан запросить у сотрудника копию документа, мало. Например, чтобы получить средства на выплату единовременного пособия, организация представляет в ФСС России копию справки о рождении ребенка (п. 3 приказа Минздравсоцразвития России от 4 декабря 2009 № 951н). Чтобы назначить ежемесячное пособие по уходу за ребенком, потребуются копии свидетельств о рождении предыдущих детей (ч. 6 ст. 13 Закона от 29 декабря 2006 № 255-ФЗ). Сотрудник должен представить копии таких документов, если хочет, чтобы работодатель назначил пособие. Поскольку обязанность предусматривает закон, получать отдельное согласие на обработку персональных данных не нужно (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Однако, при этом копии справок о рождении ребенка (свидетельств) не должны храниться у работодателя, а лишь может быть принятой от работника и предоставленной в ФСС либо возвращены работнику.

Работодатель вправе без согласия сотрудника обрабатывать его персональные данные в случаях, предусмотренных коллективным договором и локальными актами (абз. 2 Разъяснений Роскомнадзора от 14 декабря 2012 года). Однако законодательство по сути запрещает снимать и хранить копии с личных документов. 

Также обратите внимание, что сотрудник вправе отказаться представлять копии, за это его нельзя привлечь к дисциплинарной ответственности.

Есть случаи, когда Роскомнадзор и суды признавали обработку копий неправомерной, даже если они нужны по закону, чтобы, к примеру, назначить пособие.

Обосновывали это тем, что работодатель обрабатывает избыточные сведения. Кроме того, копии личных документов содержат специальные категории персональных данных, например, информацию о национальности, которые, по общему правилу, обрабатывать нельзя (постановление Пятнадцатого арбитражного апелляционного суда от 17 декабря 2013 № 15АП-16132/13, постановления ФАС Северо-Кавказского округа от 21 апреля 2014 по делу № А53-13327/2013, от 11 марта 2014 по делу № А53-10287/2013 и др.).

Как быть с документами, предоставляемыми работниками для получения вычета по НДФЛ? Заявление на получение «детского» вычета по НДФЛ достаточно получить с работника один раз. Пока право на вычет не меняется (суть вычета), повторное получение заявления не требуется. Только смотрите, чтобы оно было бессрочным (не указывайте в нем конкретного периода). А вот документы, подтверждающие право на вычет, с работника придется требовать чаще. Если документ подтверждает право на вычет только в одном налоговом периоде (например, справка с места учебы), то на последующие периоды его действие не распространяется. На это указывал Минфин в письме от 08.05.2018 № 03-04-05/30997.

Согласно подп. 4 п. 1 ст. 218 НК РФ налоговый вычет предоставляется родителям, супругу (супруге) родителя, усыновителям, опекунам, попечителям, приемным родителям, супругу (супруге) приемного родителя на основании их письменных заявлений и документов, подтверждающих право на данный налоговый вычет.

Однако в Налоговом кодексе ничего не сказано, что бухгалтер или специалист по кадрам обязаны именно хранить копии таких документов. А вот запрашивать, просматривать, проверять – уже обязаны.

Считаем, что достаточно будет в заявлении о предоставлении вычета перечислить перечень документов с реквизитами (номера и даты), передаваемых работником для предоставления вычета, с отметкой и подписью бухгалтера-расчетчика и «кадровика» о том, что они их просмотрели и проверили. А при выездной налоговой проверке показывать эти заявления с описями сверенных документов для получения вычета. Если налоговый инспектор затребует документы по каким-либо работникам, то можно пояснить инспекции, что работодателю запрещается хранить такие документы, и они будут предоставлены только с разрешения конкретного работника, по адресованному к нему запросу (хотя, с большой вероятностью, это не относится к справкам с учреждений, выданных специально для работодателей).

Дадим несколько советов относительно работы с персональными данными физических лиц.

1. Сведите к минимуму обработку копий личных документов сотрудников, хранение которых вызывает претензии у проверяющих (копии паспорта, снилс, военного билета, диплома, свидетельств о браке, о рождении ребенка, о перемене имени). Используйте данные, которые указали в трудовых договорах и личных карточках, при необходимости попросите сотрудника предъявить необходимый документ и перепишите из него нужную информацию.

2. Уничтожьте копии после того, как предоставили гарантии, льготы, пособия, компенсации. Прекратите обработку информации и уничтожьте ее материальные носители, в том числе копии, если достигли цели, для которой получали сведения. Например, работнику предоставили гарантии, предусмотренные локальным актом (ч. 4 ст. 21 Закона № 152-ФЗ). Уничтожьте копии в течение 30 дней с даты, когда достигли цели обработки данных. Копии паспортов, свидетельств и т. д. не относятся к документам по личному составу. Поэтому сроки хранения, установленные законодательством об архивном деле, к ним не применяют (п. 3 ст. 3 Закона от 22 октября 2004 № 125-ФЗ).

3. Установите порядок уничтожения материальных носителей персональных данных самостоятельно. Как правило, для этого создают комиссию или назначают ответственное лицо, о чем издают приказ в произвольной форме.

4. Зафиксируйте уничтожение персональных данных в специальном журнале или акте о прекращении обработки персональных данных. Журнал или акт разработайте в произвольной форме, форму этих документов утверждает работодатель, унифицированных шаблонов нет (информация Роскомнадзора от 25 сентября 2015 года).

5. Утвердите политику обработки персональных данных, чтобы избежать штрафа Роскомнадзора и исключите несанкционированный доступ к копиям личных документов сотрудников. Храните их в сейфах или шкафах, которые запираются на ключ. Утвердите приказом перечень лиц, имеющих доступ к таким данным, и перечень мест хранения материальных носителей персональных данных (ч. 3 ст. 4 Закона № 152-ФЗ, п. 13 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687).

Необходимость создания конфиденциальности и порядок работы с персональными данными должны быть отражены в Политике обработки персональных данных.

На 2019 год Положение о защите персональных данных имеет следующую структуру:

  1. Общие положения с указанием целей и задач документа, а также с перечнем основных нормативно-правовых актов, на основании которых создана политика конфиденциальности.
  2. Основные понятия с расшифровкой терминов и значений, используемых в документе.
  3. Состав персональных данных, включая перечень личных сведений работников.
  4. Условия обработки персональных данных внутри конкретного предприятия, на основании законодательства РФ.
  5. Список документов, предъявляемых работником работодателю, в которых содержится личная информация.
  6. Порядок доступа к информации, включая условия как для внутреннего, так и для внешнего обращения к базе данных и личным делам.
  7. Защита персональных данных, включая поэтапный комплекс мер, направленных на формирование полной конфиденциальности и создания безопасности хранения информации.
  8. Права и обязанности сотрудника в отношении обработки персональных данных, а также условия для внесения изменений и необходимость уведомления об этих изменениях.
  9. Ответственность за нарушение конфиденциальности, включая разъяснения различных случаев и меры наказания на основании законодательства РФ.