Указанные данные сами по себе отдельно от паспортных данных также являются персональными данными, на обработку которых необходимо получить согласие субъекта персональных данных и уведомить Роскомнадзор.
Обоснование данной позиции приведено ниже в материалах Системы Главбух.
1. ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 27.07.2006 № 152-ФЗ «О персональных данных»
«Статья 3. Основные понятия, используемые в настоящем Федеральном законе93
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу* (субъекту персональных данных);».
2. Ситуация: Когда можно обрабатывать персональные данные сотрудника без его согласия
В отдельных случаях обрабатывать персональные данные сотрудника можно без его согласия. Например, в случаях, прямо предусмотренных коллективным договором, а также локальными актами организации (разъяснения Роскомнадзора от 14 декабря 2012 г.).
- Формы по теме:
- Расписка в получении сотрудником имущества организации
- о присоединении к Системе информационного обмена электронными документами
- Сведения об аккредитации филиалов и представительств иностранного юридического лица
- Внесение записей о поощрении в раздел «Сведения о награждении»
- расходов на формирование резерва по гарантийному ремонту и обслуживанию
- на социальную защиту инвалидов
- Дополнительное соглашение к трудовому договору. Оформляется при выдаче ежемесячной премии в натуральной форме
- Заявление сотрудника на выдачу зарплаты в натуральной форме. Оформляется при выдаче ежемесячной премии в натуральной форме
- Внутренняя опись личного дела перед сдачей дел в архив
- Договор транспортной экспедиции. Экспедитор действует от своего имени
Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:
- Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
- налоговую инспекцию (ст. 24 НК РФ);
- ФФОМС, ФСС России (ст. 15 Закона от 24 июля 2009 г. № 212-ФЗ);
- военные комиссариаты (ст. 4 Закона от 28 марта 1998 г. № 53-ФЗ);
- иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).
Также не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета, а также данных, переданные в архивную организацию.
Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.
Кроме того, не требуйте согласия сотрудника для передачи персональных данных банку при открытии и обслуживании платежной карты для начисления зарплаты:
- если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;
- если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
- если соответствующая форма и система оплаты труда прописана в коллективном договоре организации.*
Об этом сказано в абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.
Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.
Нина Ковязина, заместитель директора департамента
образования и кадровых ресурсов Минздрава России
3. Статья: Роскомнадзор просит уведомление об обработке персональных данных
Сейчас Роскомнадзор массово рассылает по компаниям письма о том, что они не уведомили ведомство об обработке персональных данных. В таких письмах чиновники напоминают, что организации, которые обрабатывают личные данные граждан, должны подать об этом специальное уведомление. А иначе будет штраф. Для компании он составляет до 5000 руб., а для ее руководителя — до 500 руб. (ст. 19.7 КоАП РФ).
На подобное письмо нужно ответить в любом случае — письменно сообщить в ведомство о том, что у компании нет обязанности подавать уведомление. Либо подать уведомление, которое требуют ревизоры из Роскомнадзора, если окажется, что такая обязанность у организации все же есть.
Большинству компаний не нужно подавать уведомление. Например, без него можно обрабатывать персональные данные при сдаче справок 2-НДФЛ в налоговую инспекцию и персонифицированных сведений в фонд, передаче данных о сотрудниках в банк для открытия зарплатных карт или в страховую компанию для оформления полисов добровольного медицинского страхования, оформлении доверенностей и пропусков. Полный перечень случаев, когда можно обойтись без уведомления, есть в части 2 статьи 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ.
Уведомление необходимо, когда компания сообщает сведения о работнике сторонним организациям и это не связано с его трудовой деятельностью в организации или требованием законодательства. Например, если компания передает аудиторам для проверки документы по сотрудникам (трудовые договоры, кадровые приказы, справки 2-НДФЛ, лицевые счета и проч.).
Убедившись, что компания не должна подавать такое уведомление, направьте в Роскомнадзор письмо об этом. Его можно составить в свободной форме (см. образец ниже). Но если все-таки уведомление нужно подать — отправьте его в управление Роскомнадзора по тому субъекту РФ, где зарегистрирована компания. Адреса всех управлений указаны на сайте Роскомнадзора rkn.gov.ru (Государственные услуги > Территориальные управления). Форма уведомления унифицированная (приложение 2к приказу Минкомсвязи России от 21 декабря 2011 г. № 346). А рекомендации по ее заполнению можно найти в приказе Роскомнадзора от 19 августа 2011 г. № 706.*
С уважением,
Виктория Рыбалкина, эксперт Системы Главбух
Ответ утвержден Натальей Колосовой,
руководителем VIP-поддержки Системы Главбух