Размещение дней рождения сотрудников на корпоративной доске почета: анализ рисков
Анализ ситуации
Размещение на корпоративной доске почета информации о сотрудниках, у которых в текущем месяце день рождения, действительно требует соблюдения требований законодательства о персональных данных.
Являются ли указанные данные персональными?
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)
Даже указание дня и месяца рождения в сочетании с фамилией и инициалами позволяет идентифицировать конкретного сотрудника в организации, особенно в коллективе из 80 человек. Это означает, что такие данные подпадают под защиту ФЗ-152.
Правовые основания обработки
Требования к обработке персональных данных
"обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества" (Источник: Трудовой кодекс Российской Федерации, статья 86)
Цель создания "доски почета" с днями рождения не входит в перечисленные законные цели обработки персональных данных работников.
Требование о согласии
"обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)
Для законной обработки персональных данных в рассматриваемом случае необходимо получение согласия сотрудников.
Риски нарушения
Ответственность за нарушения
"Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности" (Источник: Трудовой кодекс Российской Федерации, статья 90)
"Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных... влечет наложение административного штрафа на должностных лиц - от ста тысяч до трехсот тысяч рублей; на юридических лиц - от трехсот тысяч до семисот тысяч рублей" (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11)
Рекомендации
Законные варианты оформления:
-
Получить письменные согласия всех сотрудников на обработку их персональных данных для указанной цели.
-
Использовать только имена без фамилий и инициалов (например, "15 мая - Елена"), что значительно снижает риск идентификации.
-
Размещать информацию в закрытых корпоративных ресурсах с ограниченным доступом, а не на общедоступной доске.
-
Разработать локальный нормативный акт, регулирующий обработку персональных данных в организации, и ознакомить с ним сотрудников под роспись.
Выводы
- Размещение дней рождения сотрудников на корпоративной доске без их согласия является нарушением ФЗ-152
- Даже указание дня и месяца рождения с фамилией и инициалами считается обработкой персональных данных
- Для законного осуществления такой практики необходимо получить письменные согласия сотрудников
- Рекомендуется проконсультироваться с адвокатом для разработки корректной процедуры получения согласий и оформления локальных документов