Персональные данные в охране труда: что проверять и где искать риски
В охране труда обрабатывается гораздо больше персональных данных, чем принято считать. Медосмотры, СОУТ, инструктажи, обучение, расследование несчастных случаев — каждый из этих процессов создаёт отдельный поток обработки персональных данных с разными целями, источниками, составом и сроками хранения. С 30 мая 2025 года вступают в силу новые штрафы за нарушение законодательства о персональных данных — вплоть до 500 млн рублей. В этой статье разберёмся, где в системе охраны труда возникают риски.
Процессы обработки персональных данных
В каждом процессе охраны труда персональные данные обрабатываются по-разному — с разными целями, составом и участниками. Эти процессы часто складываются из практики и не проходят юридическую верификацию.
На что обратить внимание:
- Охрана труда — не один процесс, а несколько разных, каждый может подразумевать свою цель обработки персональных данных.
- Даже внутри одного процесса может быть несколько целей, различные источники получения данных и разные участники.
- Процессы часто складываются из практики, без юридической оценки. То, что написано в регламентах, не всегда соответствует требованиям закона.
- Процессы могут включать в себя участие третьих лиц, но компании это не фиксируют: например, обучения проводятся через внешний учебный центр.
Источники и субъекты персональных данных
Основной источник данных в охране труда — это HR. Но в отдельных случаях (например, при расследовании несчастных случаев) данные поступают от других участников — руководителя, специалиста по охране труда, ЛПУ.
На что обратить внимание:
- Потерпевший — отдельная категория, которой нет в других процессах помимо расследования несчастных случаев, но в документах она может быть не указана, что будет являться ошибкой.
- Вопрос взятия согласия на обработку персональных данных у родственников работника: если основание прописано в законе, то согласие не требуется.
Основания для обработки персональных данных
Любые данные работника должны обрабатываться только при наличии основания. Но в документах часто указывается только согласие, хотя законом предусмотрены и другие формулировки.
Примеры оснований, зафиксированных в законодательстве:
- «Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей».
- «Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных».
- «Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно».
Способы обработки персональных данных
Персональные данные в охране труда обрабатываются одновременно в нескольких средах — порталах, почте, бумажных актах, Excel-таблицах. Это усложняет контроль и требует фиксации всех каналов.
На что обратить внимание:
- Множественность каналов усложняет контроль за соблюдением закона: часто невозможно точно сказать, где и в какой момент происходит обработка.
- Работодатели редко фиксируют, через какие системы идёт обработка, кто именно имеет доступ, какие способы передачи используются.
- Во многих компаниях даже нет понимания, что выгрузка Excel-таблицы или передача данных курьером — это уже обработка ПД.
Состав обрабатываемых персональных данных
Состав персональных данных варьируется от базовых идентификаторов (ФИО, дата рождения, должность) до специальных категорий (сведения о здоровье, результатах освидетельствования). Ошибки в определении состава могут привести к штрафам.
На что обратить внимание:
- В каждом процессе охраны труда обрабатывается широкий набор персональных данных.
- В ряде процессов появляются специальные категории персональных данных — например, сведения о здоровье (медосмотры, расследование несчастных случаев).
- Некоторые процессы содержат чувствительные блоки, не всегда осознаваемые как персданные — например, информация о родственниках или результатах освидетельствования.
- Состав данных часто не описан в документах, что приводит к риску отсутствия правового основания на их обработку.
- Компании не всегда отделяют обязательные данные от избыточных, что формирует риск незаконной обработки данных.
Передача данных третьим лицам и иные блоки
Персональные данные сотрудников передаются в ГИТ, СФР, медорганизации, учебные центры, Профсоюз, ФГИС, а иногда — в головные организации за границей. Эти факты часто не отражены в согласиях или внутренней документации.
На что обратить внимание:
- В согласии на обработку персональных данных важно указать всех третьих лиц, даже если это государственные организации.
- Сроки обработки часто указаны необоснованно («50 лет») или некорректно («до отзыва согласия»).
- Способы хранения разнородны: бумажные удостоверения и журналы, Excel-файлы, почтовые сервера, порталы — всё это требует отдельного контроля доступа.
- Доступ к данным часто есть у большого числа сотрудников, но нигде не зафиксировано, кто именно и на каком основании его имеет.
- Внутри компании нет единого подхода к фиксации обработки и уничтожению персданных — особенно в архивных и «серверных» процессах.
Персональные данные и охрана труда — два высокорисковых направления, в которых требуется специфическая узконаправленная экспертиза. Стоит дополнительно провести аудит процессов и документов в охране труда, чтобы корректно отразить не только требования законодательства в части охраны труда, но и соблюсти все правила обработки персональных данных.