Вопрос: Является ли нарушением законодательства о персональных данных хранение архива электронной почты, в котором сохранены сканы документов, содержащих персональные данные бывших работников?
Ответ: Хранение работодателем скан-копий страниц паспорта, военного билета и других документов, которые содержат персональные данные бывшего работника, может быть признано Роскомнадзором избыточным по отношению к заявленным целям обработки персональных данных.
За несоблюдение законодательства Российской Федерации в области персональных данных предусмотрена административная ответственность по ст. 13.11 КоАП РФ.
Обоснование: В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Общие требования при обработке персональных данных работника и гарантии их защиты установлены ст. 86 ТК РФ, в частности, защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами.
Исходя из содержания ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем самостоятельно нормативным актом организации, с которым работники должны быть ознакомлены под подпись.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом (ч. 7 ст. 5 Закона N 152-ФЗ).
Кроме того, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ч. 1 ст. 19 Закона N 152-ФЗ).
Учитывая вышеизложенное, а также исходя из имеющейся судебной практики хранение работодателем копий страниц паспорта, военного билета и других документов, которые содержат персональные данные работника, может быть признано Роскомнадзором избыточным по отношению к заявленным целям обработки персональных данных (Постановление Пятнадцатого арбитражного апелляционного суда от 14.03.2014 N 15АП-22502/2013 по делу N А53-12557/2013).
Выводы сделаны в отношении хранения копий страниц паспорта в личных делах, но могут быть распространены на хранение скан-копий в электронном виде в архиве в электронной почте.
В то же время, если хранение данных будет отвечать заявленной цели обработки (например, для пополнения кадрового резерва в будущем), то нарушения, на наш взгляд, нет.
За несоблюдение законодательства Российской Федерации в области персональных данных предусмотрена административная ответственность по ст. 13.11 Кодекса РФ об административных правонарушениях.
С.В. Авдеев
Государственная инспекция труда
в Орловской обл.
28.07.2021
