Является ли копия паспорта персональными данными?

Возможно ли хранить в личном деле работника копии документов, являющихся персональными данными (паспорта, ИНН, СНИЛС, диплома, и т.д.), если работник в заявлении на обработку персональных данных дал свое согласие на хранении в его личном деле вышеперечисленных документов?

21 января 2019

Рассмотрев вопрос, мы пришли к следующему выводу:
Хранение в личных делах работников копии паспорта, ИНН, СНИЛС, документов об образовании и других документов, содержащих персональные сведения, возможно, если работодатель обеспечил одновременное соблюдение определенных условий.

Обоснование вывода:
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», далее — Закон N 152-ФЗ).
Ни нормами Трудового кодекса РФ, ни нормами Закона N 152-ФЗ не установлено прямого запрета на копирование работодателем документов, предоставляемых работником при приеме на работу и в процессе трудовой деятельности, а также на хранение работодателем копий этих документов. Однако, поскольку копии паспортов сотрудников и членов их семьи, свидетельств о браке, свидетельств о рождении детей содержат в себе информацию, относящуюся к определенным физическим лицам, обработка такой информации подчиняется требованиям Закона N 152-ФЗ.
Статья 86 ТК РФ предоставляет работодателю право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Согласно ч. 1 ст. 9 Закона N 152-ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. По смыслу разъяснений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» конкретным и информированным является такое согласие субъекта персональных данных, которое содержит не только информацию, позволяющую однозначно сделать вывод об объеме обрабатываемых персональных данных и способах обработки с указанием действий, совершаемых с персональными данными, но и информацию о целях обработки таких данных.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч.ч. 2, 5 ст. 5 Закона N 152-ФЗ).
Обобщая приведенные нормы, мы приходим к выводу о том, что для законного хранения копии паспорта, ИНН, СНИЛС, диплома и других документов, содержащих персональные сведения работников, работодатель должен обеспечить одновременное соблюдение следующих условий:
— от работника должно быть получено согласие на хранение его персональных данных, указанных в копиях документов, необходимость обработки которых не обусловлена достижением целей, поименованных в пунктах 2-11 части первой ст. 6 Закона N 152-ФЗ;
— работодателем должны быть заранее определены конкретные цели хранения персональных данных, содержащихся в копиях документов работников, при этом такие цели не должны противоречить законодательству;
— объем персональных данных, указанных в копиях документов работника, не должен превышать объем данных, которые работодателю необходимо использовать в соответствии с заявленными целями обработки;
— обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Как показывает судебная практика, при хранении копий документов, предоставленных работниками при приеме на работу или в процессе их трудовой деятельности, есть вероятность возникновения претензий со стороны контролирующих органов в связи с избыточностью обрабатываемых работодателем персональных данных работников. Так, в некоторых случаях суды признают незаконным хранение работодателем копий документов работников, в частности копии паспорта, свидетельства о присвоении ИНН, СНИЛС, военного билета и т.д., даже при наличии согласия работника на обработку его персональных данных (смотрите, например, постановления ФАС Северо-Кавказского округа от 21.04.2014 N Ф08-1921/14 и от 11.03.2014 N Ф08-480/14, Пятнадцатого арбитражного апелляционного суда от 14.03.2014 N 15АП-22502/13, Семнадцатого арбитражного апелляционного суда от 10.06.2015 N 17 АП-5329/15).
Поэтому для того, чтобы ответить на вопрос о законности хранения упомянутых документов, необходимо прежде всего определить, для достижения каких конкретных, заранее определенных и законных целей работодатель хранит копии личных документов работника. Если такие цели отсутствуют или хранение копий паспорта, свидетельства с указанием ИНН, документов об образовании и т.д. является избыточным с точки зрения достижения целей обработки персональных данных работников, хранение таких копий противоречит требованиям закона. В этом случае, как мы полагаем, работодателю следует вернуть копии документов работнику или уничтожить их (ст. 21 Закона N 152-ФЗ).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Евсюкова Валентина

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Комарова Виктория

4 невероятных факта о персональных данных

Так что же такое ПДн? Наш предыдущий пост о персональных данных собрал довольно много комментариев. Больше всего споров развернулось вокруг вопроса о том, что именно считать персональными данными.
Мы обещали в этом разобраться и обещание свое выполняем.

Факт № 1. Закон не содержит конкретного перечня

В 152-ФЗ под ПДн понимают любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Из этого определения, нужно признать, мало что понятно.

Факт № 2. ПДн бывают трех видов

Закон выделяет три категории ПДн: общие, специальные и биометрические.

  1. К общей категории относятся Ф. И. О., адрес, телефон.
  2. К специальной категории закон относит данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
  3. К биометрическим данным относятся особенности строения частей тела, отпечатки пальцев, ладони, сетчатка глаз, анализ ДНК и т. п.

Факт № 3. Судебная практика по ПДн

Опираясь на имеющуюся судебную практику, давайте разберем, что нужно относить к ПДн:

  • Фамилия, имя, отчество, год, месяц, день и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы (Постановление по делу № А15-2016/2009 от 05.10.2010. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015. 19-й ААС).
  • Паспортные данные (см., например, Апелляционное определение Московского городского суда от 22.05.2014 № 33-14709).
    Есть решения судов, в которых указывается, что серия и номер паспорта идентифицируют бланк документа, но не физического лицо и, следовательно, не относятся к персональным данным (см. подробнее Определение Московского городского суда от 29 февраля 2012 г. № 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).
    С такими выводами трудно согласиться, так как серия и номер паспорта идентифицируют физическое лицо с легкостью.
  • Адрес электронной почты (см., например, Решение по делу № 12-253/2015 от 26.05.2015. Калининский районный суд (город Санкт-Петербург).
    При этом стоит обратить внимание, что практика и мнение Роскомнадзора относительно отнесения электронной почты к категории ПДн неоднозначны. В ряде разъяснений Роскомнадзор указывает, что адрес электронной почты, содержащий ФИО, будет отнесен к категории ПДн, а в случае если адрес представляет собой набор символов (слов), его нельзя считать персональными данными.
  • Данные технического паспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 № 33-3718).
  • Адреса места жительства индивидуальных предпринимателей, указанные в плане проведения проверок юридических лиц и индивидуальных предпринимателей, размещенном в общем доступе на официальном сайте администрации (см., например, Апелляционное определение Волгоградского областного суда от 24.04.2014 № 33-4427/2014).
  • Сведения о пересечении государственной границы (см., например, Апелляционное определение Московского городского суда от 10.04.2014 № 33-11688).
  • Адрес регистрации должностного лица, сведения о его доходах и собственности, распространяемые в непредусмотренной для официальной процедуры форме (см., например, Определение Санкт-Петербургского городского суда от 31.03.2014 № 33-4198/14).
  • Данные работника, указанные в трудовом договоре (см., например, Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 № 33-4172/13).

Применительно к отнесению данных к персональным важно понимать еще два момента:

  1. Никакой проверки или подтверждения, что данные относятся к конкретному физическому лицу, не требуется (закон такой процедуры не предусматривает). Поэтому оператор по факту не знает вымышленные ли это данные или нет, но от обязанностей по обработке ПДн это не избавляет.
  2. Персональными данными являются только те, которые могут идентифицировать физическое лицо (см., например, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Московского городского суда от 28 января 2014 г. N 33-5461/14).

Факт № 4. Более сложные материи

Помимо «простых» данных, вроде имени и фамилии, часто возникают вопросы относительно более «сложных» категорий типа IP-адреса, ника или профиля в социальной сети и их определения в качестве персональных данных.
В отнесении этих категорий персональных данных даже суды имеют разные точки зрения.

  • Относительно IP-адреса в одном из судебных решений встречается довольно хороший правовой анализ «…Идентификация пользователя информационно-телекоммуникационной сети Интернет через установление его персональных данных по статическому IP-адресу, назначаемому оператором связи и постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на оказание услуг доступа к сети Интернет (при использовании статического IP-адреса все подключения пользователя всегда идентифицируются этим IP-адресом в сети связи) по своим правовым последствиям не может отличаться от случаев, когда IP-адрес назначается оператором связи пользовательскому оборудованию автоматически, на период подключения данного устройства (период сессии) к сети Интернет (динамический IP-адрес)» (Решение по делу № 2-5354/2015 от 24.09.2015. Октябрьский районный суд г. Самары (Самарская область)).
    При этом одни суды IP-адрес к ПДн не относят (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015. 13-й ААС), а другие, наоборот, признают (Решение по делу № А76-29008/2015 от 11.02.2016. АС Челябинской обл.).
    Представляется, что статичный IP-адрес справедливо относить к персональным данным, так как по нему идентифицировать пользователя легко. Но оператор не может знать, что будет являться статичным IP-адресом, в таком случае нужно признавать все IP адреса ПДн (на всякий пожарный).
  • Логин и пароль (от электронной почты или социальной сети) вызывает как раз меньше споров. Роскомнадзор неоднократно высказывался, что относить их к персональным данным нельзя.

Безусловно это только начало диалога о персональных данных и вопросов больше чем ответов.
Что же касается таких космических материй как сбор информации о пользователи с помощью куков и прочих скриптов, то тут мы просим вас погодить. Товарищи, дайте же разобраться с тем что попроще! Потом уже будем надстраивать на эти ответы новые вопросы.

Штраф до 50 тыс. рублей за хранение документов в личном деле: подробности

Актуально на: 14 марта 2018 г.

При приеме на работу и в дальнейшем работодатель, как правило, делает копии личных документов работника (паспорта, СНИЛС, трудовой книжки и др.) и сохраняет их в личном деле. Можно сказать, что изготовление и хранение копий документов работников – обычная практика для любого работодателя. Однако Роструд пояснил, что при этом необходимо учитывать требования законодательства (Доклад с руководством по соблюдению обязательных требований, дающих разъяснение, какое поведение является правомерным, а также разъяснение новых требований нормативных правовых актов за 2 квартал 2017 г.).

Хранение документов – при получении согласия?

Роструд отмечает, что порядок ведения личного дела работника нормами действующего законодательства не установлен. Однако, если работодатель собирается хранить копии документов работника в его личном деле, то делать это можно лишь при получении согласия от работника на хранение и обработку персональных данных. К слову, персональными данными считается любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Роструд напоминает, что обработка персональных данных работника может производиться исключительно в следующих целях (ст. 86 ТК РФ):

  • обеспечение соблюдения законов и иных нормативных правовых актов;
  • содействие работникам в трудоустройстве, получении образования и продвижении по службе;
  • обеспечение личной безопасности работников;
  • контроль количества и качества выполняемой работы;
  • обеспечение сохранности имущества.

Форму согласия на обработку персональных данных сотрудника мы приводили в нашей консультации.

Роскомнадзор думает по-другому

В противовес позиции Роструда Роскомнадзор полагает, что даже при получении согласия на обработку персональных данных хранение, к примеру, копий паспорта, свидетельства о браке, свидетельства о рождении ребенка или военного билета, не является законным. И суды иногда поддерживают такую точку зрения (Постановления ФАС СКО от 21.04.2014 по делу № А53-13327/2013, 15-го ААС от 14.03.2014 № 15АП-22502/2013).

Хранение копий документов в личном деле, если оно рассматривается как нарушение законодательства РФ в области персональных данных, грозит штрафом (ч. 1 ст. 13.11 КоАП РФ):

  • на должностных лиц – от 5 000 до 10 000 рублей;
  • на организации – от 30 000 до 50 000 рублей.

С учетом противоречивости позиций можно отметить, что во избежание возможных претензий к работодателю не рекомендуется хранить копии документов работника в его личном деле.

Обязанность оформлять личные дела установлена в отношении государственных и муниципальных служащих (Указ Президента РФ от 30.05.2005 № 609, ст. 30 Федерального закона от 02.03.2007 № 25-ФЗ). На работников коммерческих организаций оформлять личные дела необязательно.

Однако если коммерческая организация решила вести личные дела работников, то целесообразно закрепить порядок их ведения в соответствующем положении.

В личные дела работников могут помещаться следующие документы:

  • анкета, автобиография, резюме;
  • заявление о приеме на работу;
  • копии документов об образовании;
  • рекомендации и характеристики;
  • медицинские справки;
  • трудовой договор;
  • выписка из приказа о приеме на работу;
  • выписки из протоколов об избрании на должность, об итогах конкурса на вакантную должность;
  • личная карточка.

Копии документов (выписки) должны заверять работники кадровой службы. Документы личного дела подшиваются в папку «Дело». В личном деле должна быть оформлена внутренняя опись документов.

В п. 16 Указа Президента РФ от 30.05.2005 № 609 установлено, что к личному делу гражданского служащего в числе прочего приобщаются копия паспорта и копия документов ЗАГСа. Однако применять это требование к личным делам лиц, которые не являются гражданскими служащими, неправомерно.

Документы, удостоверяющие личность, нужны работодателю исключительно при оформлении трудовых отношений. Данные, которые содержат паспорта, СНИЛС и ИНН признаются персональными.

Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (п. 1 Указа Президента РФ от 06.03.1997 № 188). Сбор, обработка, передача, хранение и иные действия с такой информацией должны выполняться в строгом соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

В соответствии с п. 2 ст. 5 Закона № 152-ФЗ обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Паспорт и СНИЛС нужны работодателю для заключения договора, поэтому их предоставление ограничено целью заключения трудового договора. Следовательно, хранить копии этих документов в личном деле работодатель не вправе. Обратите внимание, требовать у работника ИНН работодатель не имеет права, поэтому хранение копии ИНН в личном деле не служит для достижения законных и заранее определенных целей.

Хранение копий паспорта, СНИЛС и ИНН в личном деле может повлечь ответственность за нарушение законодательства о персональных данных (см. например, постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013). Например, Пятнадцатый арбитражный апелляционный суд, привлекая к ответственности работодателя постановлением от 14.03.2014 № 15АП-22502/2013 по делу А53-12557/2013, указал следующее: в личных делах работников общества хранятся документы, содержащие персональные данные, превышающие установленный пунктом 2 статьи 86 ТК РФ объем обрабатываемых персональных данных работников, определенный законодательством. К незаконно обрабатываемым персональным данным работников относятся копии страниц паспорта, фотографии работников.

  • Ответственность за нарушение порядка обработки и хранения персональных данных

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *