Что нужно знать кадровику о запрете на требование копий удостоверения личности работников
Альбина Третьякова
юрист-правовед, специалист и бизнес-тренер по трудовому и гражданскому законодательству, профессиональный медиатор РОО Международного правозащитного центра, юрконсультант Палаты «Центр частнопрактикующих юридических консультантов г. Алматы»
Лариса Степуро
эксперт электронной системы «AСTUALIS: Кадровое дело», практикующий юрист, г. Алматы
С 11 февраля 2024 года работодатель не может требовать у работника копию удостоверения личности. В связи с этим кадровым службам необходимо принять во внимание в какие внутренние документы о персональных данных работников внести поправки.
Персональные данные – это сведения, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе (пп. 2) ст. 1 Закона о персональных данных).
Персональные данные по доступности подразделяют на:
- общедоступные;
- ограниченного доступа.
Общедоступными являются персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.
Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан. Например, индивидуальный идентификационный номер (ИИН) работника, который, в соответствии с пп. 1) п. 1 ст. 28 ТК РК, указывают в трудовом договоре.
Сведения, содержащиеся в национальных реестрах идентификационных номеров, кроме информации, являющейся общедоступной, не подлежат разглашению, за исключением случаев предоставления сведений, в том числе в случаях, предусмотренных законами Республики Казахстан (п. 1 ст. 11 Закона о национальных реестрах идентификационных номеров).
Работодатель, принимая работников и заключая с ними трудовые договоры осуществляет сбор и обработку персональных данных работников.
Сбор персональных данных – действия, направленные на получение персональных данных (пп. 5) ст. 1 Закона о персональных данных).
Обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных (пп. 12) ст. 1 Закона о персональных данных).
В Республике Казахстан сбор, обработку и защиту персональных данных осуществляют в соответствии с принципами:
1) соблюдения конституционных прав и свобод человека и гражданина;
2) законности;
3) конфиденциальности персональных данных ограниченного доступа;
4) равенства прав субъектов, собственников и операторов;
5) обеспечения безопасности личности, общества и государства.
Обработку персональных данных должны ограничивать достижением конкретных, заранее определённых и законных целей.
Сбор персональных данных – действия, направленные на получение персональных данных (пп. 5) ст. 1 Закона о персональных данных).
Обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных (пп. 12) ст. 1 Закона о персональных данных).
В Республике Казахстан сбор, обработку и защиту персональных данных осуществляют в соответствии с принципами:
1) соблюдения конституционных прав и свобод человека и гражданина;
2) законности;
3) конфиденциальности персональных данных ограниченного доступа;
4) равенства прав субъектов, собственников и операторов;
5) обеспечения безопасности личности, общества и государства.
Обработку персональных данных должны ограничивать достижением конкретных, заранее определённых и законных целей.
Статью 7 Закона о персональных данных дополнили пунктом 10, который запрещает сбор, обработку копий документов, удостоверяющих личность, на бумажном носителе, за исключением случаев отсутствия интеграции с объектами информатизации государственных органов и (или) государственных юридических лиц, невозможности идентификации субъекта с использованием технологических средств, а также в иных случаях, предусмотренных законами Республики Казахстан.
Исключительные случаи сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе, не распространяются на использование и представление документов, удостоверяющих личность, формируемых посредством сервиса цифровых документов.
К документам, удостоверяющим личность, относят:
Статья 32 ТК РК не предусматривает и не предусматривала ранее право работодателя при приёме на работу истребовать от работника именно копию удостоверения личности. В п. 1 ст. 32 ТК РК указали, что для заключения трудового договора необходимы следующие документы:
1) удостоверение личности гражданина Республики Казахстан или паспорт гражданина Республики Казахстан (свидетельство о рождении для лиц, не достигших шестнадцатилетнего возраста).
Кандасы представляют удостоверение кандаса, выданное местными исполнительными органами;
2) вид на жительство иностранца в Республике Казахстан или удостоверение лица без гражданства (для иностранцев и лиц без гражданства, постоянно проживающих на территории Республики Казахстан) либо удостоверение беженца.
Далее работодатель на основании представленных документов вносит в трудовой договор сведения о работнике: фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) работника, адрес его постоянного места жительства и сведения о регистрации по месту жительства, наименование, номер, дату выдачи документа, удостоверяющего его личность, индивидуальный идентификационный номер (пп. 1) п. 1 ст. 28 ТК РК).
Работодатель и работник выполняют требование пп. 1) п. 1 ст. 32 ТК РК путём предоставления работником работодателю для обозрения оригинала документа, удостоверяющего личность, и возможности сделать из него выписку наименования, номера, даты выдачи, наименования органа, выдавшего документ, удостоверяющий личность, путём отражения этих данных непосредственно в тексте самого трудового договора и личной карточке работника. Работник и представитель работодателя, подписав текст трудового договора и заполнив личную карточку работника, тем самым подтверждают правильность внесения указанных данных из оригинала документа, удостоверяющего личность.
По мнению экспертов и рядовых граждан, запрет на сбор копий удостоверений личности несёт ряд преимуществ. С одной стороны, он усиливает защиту персональных данных, что в эпоху цифровизации весьма актуально. С другой – снимает лишнюю нагрузку на бизнес, снижает расходы на приобретение копировального оборудования, аренду помещений для его хранения, сокращает документооборот.
Что изменилось в Законе о персональных данных
С 11 февраля 2024 года работодателя лишили права истребовать копию удостоверения личности у работника.
Соответственно, кадровой службе необходимо в локальных актах организации, во внутренних документах о персональных данных работников организации исключить условие истребования копии удостоверения личности у работника. Делается это в том же порядке, в котором акты разрабатывали и утверждали первоначально.
В то же время законодатель дополнил п. 1 ст. 23 ТК РК подпунктом 14), которым наделил работодателя правом собирать копии документов, удостоверяющих личность трудового иммигранта, для целей, предусмотренных ТК РК.
Трудовые иммигранты – иммигранты, прибывшие в Республику Казахстан в качестве домашних работников с целью выполнения работ (оказания услуг) у работодателей – физических лиц в домашнем хозяйстве на основании разрешения трудовому иммигранту.
То есть, собирать копии документов, удостоверяющих личность трудового иммигранта, имеют право работодатели – физические лица, но не работодатели – юридические лица.
Работник имеет право на обеспечение защиты персональных данных, хранящихся у работодателя (п. 24) п. 1 ст. 22 ТК РК). В свою очередь, согласно пп. 24) п. 2 ст. 23 ТК РК, работодатель обязан осуществлять сбор, обработку и защиту персональных данных работника в соответствии с законодательством Республики Казахстан о персональных данных и их защите.
Работодатель, как собственник и (или) оператор при обработке персональных данных ограниченного доступа:
1) устанавливает цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используют в соответствии с декларируемыми целями;
2) определяет порядок обработки, распространения и доступа к персональным данным ограниченного доступа;
3) определяет порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.
Кроме того, работодатель определяет перечень лиц, имеющих доступ к персональным данным ограниченного доступа, а также выделяет бизнес-процессы, содержащие персональные данные ограниченного доступа. Так как доступ к персональным данным определяют условиями согласия субъекта или его законного представителя, предоставленного собственнику и (или) оператору на их сбор и обработку, если иное не предусматривает законодательство Республики Казахстан.
Согласно пп. 10) п. 2 и п. 3 ст. 25 Закона о персональных данных, работодатель назначает актом работодателя ответственное лицо за организацию обработки персональных данных, которое обязано:
1) осуществлять внутренний контроль за соблюдением собственником и (или) оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных;
2) доводить до сведения работников собственника и (или) оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;
3) осуществлять контроль за приёмом и обработкой обращений субъектов или их законных представителей.
Работодатель до осуществления сбора и обработки персональных данных должен получить от работника согласие на сбор и обработку персональных данных.
Каждый работодатель разрабатывает и утверждает перечень собираемых им данных (сведений) работника. В соответствии с ним работодатель до начала сбора и обработки персональных данных анализирует задачи по использованию персональных данных. На основании проведённого анализа определяет перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач.
Как правило, работодатели разрабатывают и утверждают Положение о сборе и обработке персональных данных, которое включает перечень истребуемых персональных данных и утверждённую форму согласия на сбор и обработку персональных данных работника.
Исключительные случаи сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе, не распространяются на использование и представление документов, удостоверяющих личность, формируемых посредством сервиса цифровых документов.
К документам, удостоверяющим личность, относят:
- паспорт гражданина Республики Казахстан;
- удостоверение личности гражданина Республики Казахстан;
- вид на жительство иностранца в Республике Казахстан;
- удостоверение лица без гражданства;
- дипломатический паспорт Республики Казахстан;
- служебный паспорт Республики Казахстан;
- удостоверение беженца;
- удостоверение личности моряка Республики Казахстан;
- заграничный паспорт;
- свидетельство о рождении.
Статья 32 ТК РК не предусматривает и не предусматривала ранее право работодателя при приёме на работу истребовать от работника именно копию удостоверения личности. В п. 1 ст. 32 ТК РК указали, что для заключения трудового договора необходимы следующие документы:
1) удостоверение личности гражданина Республики Казахстан или паспорт гражданина Республики Казахстан (свидетельство о рождении для лиц, не достигших шестнадцатилетнего возраста).
Кандасы представляют удостоверение кандаса, выданное местными исполнительными органами;
2) вид на жительство иностранца в Республике Казахстан или удостоверение лица без гражданства (для иностранцев и лиц без гражданства, постоянно проживающих на территории Республики Казахстан) либо удостоверение беженца.
Далее работодатель на основании представленных документов вносит в трудовой договор сведения о работнике: фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) работника, адрес его постоянного места жительства и сведения о регистрации по месту жительства, наименование, номер, дату выдачи документа, удостоверяющего его личность, индивидуальный идентификационный номер (пп. 1) п. 1 ст. 28 ТК РК).
Работодатель и работник выполняют требование пп. 1) п. 1 ст. 32 ТК РК путём предоставления работником работодателю для обозрения оригинала документа, удостоверяющего личность, и возможности сделать из него выписку наименования, номера, даты выдачи, наименования органа, выдавшего документ, удостоверяющий личность, путём отражения этих данных непосредственно в тексте самого трудового договора и личной карточке работника. Работник и представитель работодателя, подписав текст трудового договора и заполнив личную карточку работника, тем самым подтверждают правильность внесения указанных данных из оригинала документа, удостоверяющего личность.
По мнению экспертов и рядовых граждан, запрет на сбор копий удостоверений личности несёт ряд преимуществ. С одной стороны, он усиливает защиту персональных данных, что в эпоху цифровизации весьма актуально. С другой – снимает лишнюю нагрузку на бизнес, снижает расходы на приобретение копировального оборудования, аренду помещений для его хранения, сокращает документооборот.
Что изменилось в Законе о персональных данных
С 11 февраля 2024 года работодателя лишили права истребовать копию удостоверения личности у работника.
Соответственно, кадровой службе необходимо в локальных актах организации, во внутренних документах о персональных данных работников организации исключить условие истребования копии удостоверения личности у работника. Делается это в том же порядке, в котором акты разрабатывали и утверждали первоначально.
В то же время законодатель дополнил п. 1 ст. 23 ТК РК подпунктом 14), которым наделил работодателя правом собирать копии документов, удостоверяющих личность трудового иммигранта, для целей, предусмотренных ТК РК.
Трудовые иммигранты – иммигранты, прибывшие в Республику Казахстан в качестве домашних работников с целью выполнения работ (оказания услуг) у работодателей – физических лиц в домашнем хозяйстве на основании разрешения трудовому иммигранту.
То есть, собирать копии документов, удостоверяющих личность трудового иммигранта, имеют право работодатели – физические лица, но не работодатели – юридические лица.
Работник имеет право на обеспечение защиты персональных данных, хранящихся у работодателя (п. 24) п. 1 ст. 22 ТК РК). В свою очередь, согласно пп. 24) п. 2 ст. 23 ТК РК, работодатель обязан осуществлять сбор, обработку и защиту персональных данных работника в соответствии с законодательством Республики Казахстан о персональных данных и их защите.
Работодатель, как собственник и (или) оператор при обработке персональных данных ограниченного доступа:
1) устанавливает цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используют в соответствии с декларируемыми целями;
2) определяет порядок обработки, распространения и доступа к персональным данным ограниченного доступа;
3) определяет порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.
Кроме того, работодатель определяет перечень лиц, имеющих доступ к персональным данным ограниченного доступа, а также выделяет бизнес-процессы, содержащие персональные данные ограниченного доступа. Так как доступ к персональным данным определяют условиями согласия субъекта или его законного представителя, предоставленного собственнику и (или) оператору на их сбор и обработку, если иное не предусматривает законодательство Республики Казахстан.
Согласно пп. 10) п. 2 и п. 3 ст. 25 Закона о персональных данных, работодатель назначает актом работодателя ответственное лицо за организацию обработки персональных данных, которое обязано:
1) осуществлять внутренний контроль за соблюдением собственником и (или) оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных;
2) доводить до сведения работников собственника и (или) оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;
3) осуществлять контроль за приёмом и обработкой обращений субъектов или их законных представителей.
Работодатель до осуществления сбора и обработки персональных данных должен получить от работника согласие на сбор и обработку персональных данных.
Каждый работодатель разрабатывает и утверждает перечень собираемых им данных (сведений) работника. В соответствии с ним работодатель до начала сбора и обработки персональных данных анализирует задачи по использованию персональных данных. На основании проведённого анализа определяет перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач.
Как правило, работодатели разрабатывают и утверждают Положение о сборе и обработке персональных данных, которое включает перечень истребуемых персональных данных и утверждённую форму согласия на сбор и обработку персональных данных работника.
