Электронный учет рабочего времени и защита персональных данных (В. Глебов, журнал "Актуальная бухгалтерия", N 5, май 2017 г.)

Электронный учет рабочего времени и защита персональных данных

В. Глебов,

эксперт службы Правового консалтинга ГАРАНТ

Журнал "Актуальная бухгалтерия", N 5, май 2017 г., с. 24-27.

Компания планирует ввести электронный учет времени прибытия работников на работу и убытия их с работы: всем сотрудникам выдать магнитные карты и установить на проходной электронный фотофиксатор. Будут ли нарушаться права работников на сбор, хранение, использование информации о персональных данных, и чем это грозит работодателю?

Если электронный учет рабочего времени организовать таким образом, что при регистрации магнитной карты конкретного работника на электронном регистраторе последний будет фотографировать лицо работника - владельца карты (во избежание ситуации, когда работник регистрирует кроме своей карты также карты отсутствующих на работе), не будут ли при фотографировании нарушаться права работников?

Право работодателя

Исходя из положений трудового законодательства работодатель вправе осуществлять контроль за соблюдением работниками дисциплины труда, правил внутреннего трудового распорядка, исполнением ими трудовых обязанностей, предусмотренных трудовым договором. Однако вопрос о правомерности осуществления работодателями фото- и видеосъемки, а также процедура установки данных систем в целях контроля за соблюдением работниками правил внутреннего трудового распорядка в настоящее время прямо законодательством не регламентируются.

В соответствии с Конституцией РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются*(1).

Вместе с тем согласно разъяснениям Конституционного Суда РФ право на неприкосновенность частной жизни означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера. В понятие "частная жизнь" включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит непротивоправный характер*(2).

При этом, на взгляд автора, действия, совершаемые работником в рамках трудовых отношений, нельзя признать касающимися только его и не подлежащими контролю со стороны работодателя. Так, в силу статей 16, 21, 22 Трудового кодекса работник обязан добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором, соблюдать правила внутреннего трудового распорядка и трудовую дисциплину, а работодатель, в свою очередь, вправе требовать от работников исполнения ими трудовых обязанностей, соблюдения правил внутреннего трудового распорядка и трудовой дисциплины. Для этого работодатель в целях эффективной деятельности и регулирования трудовых отношений самостоятельно, под свою ответственность может принимать необходимые локальные нормативные акты*(3).

Таким образом, выполнение работником определенных действий в рамках трудовых отношений может находиться под контролем работодателя, поскольку эти действия не являются элементом частной жизни работников. Следует отметить, что порядок такого контроля законодательно не урегулирован. Однако автор полагает, что данный контроль возможен в том числе и с применением систем фотографирования и видеонаблюдения, поскольку это не преследует цели вмешательства в частную жизнь работника, его личную, семейную тайну, а лишь фиксирует исполнение (неисполнение) работником правил внутреннего трудового распорядка, трудовых обязанностей, возложенных на него трудовым договором*(4).

Право работника

Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)*(5). В частности, Верховный Суд РФ*(6) признал относящейся к персональным данным информацию о трудовой деятельности работника. Суды, например, признают персональными данными сведения о предоставленных работникам отпусках, периодах их нетрудоспособности, неявках на работу и другие сведения, получаемые работодателем в процессе трудовой деятельности*(7).

Любые действия (операции) с персональными данными субъекта, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, признаются обработкой персональных данных*(8). Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки*(9).

В соответствии со статьей 6 Закона N 152-ФЗ обработка персональных данных может осуществляться только в установленных данной статьей случаях. Одним из таких случаев является получение от субъекта персональных данных согласия на их обработку*(10). Однако в Законе N 152-ФЗ упомянуты и случаи обработки персональных данных, которая может осуществляться без согласия их субъекта*(11). В частности, когда такая обработка необходима для исполнения договора, стороной которого является субъект персональных данных, в том числе и трудового договора*(12). Иными словами, работодатель, исполняя свои обязанности, возложенные на него трудовым законодательством, вправе осуществлять обработку персональных данных работника без его согласия, но только при условии использования персональных данных работника исключительно в служебных целях.

Общие требования при обработке персональных данных работника и гарантии их защиты определены в статье 86 Трудового кодекса. Названной нормой, в частности, предусмотрено, что работодатель при обработке персональных данных работника обязан соблюдать следующие общие требования: обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Вместе с тем необходимо обратить внимание на особенности обработки биометрических персональных данных - сведений, характеризующих физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных*(13). К биометрическим персональным данным, например, относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.), а также иные физиологические или биологические характеристики человека, в том числе изображение (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных*(14).

Важно!

Установление личности работника путем сравнения фотографии лица, предъявившего пропуск в момент пересечения проходной, со сведениями, заложенными в магнитной карте, используемой в качестве пропуска, является обработкой биометрических персональных данных.

Обработка биометрических персональных данных может осуществляться только при наличии письменного согласия работника*(15). Такой позиции придерживается, например, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций*(16). Поэтому в рассматриваемой ситуации во избежание спора, а также претензий со стороны контролирующих органов для осуществления фотографирования работодателю целесообразно все же получить письменное согласие работников.

Кроме того, работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области*(17). Работодатель должен осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник также должен быть ознакомлен под подпись. Порядок хранения и использования персональных данных работников работодатель устанавливает с соблюдением требований Трудового кодекса и иных федеральных законов*(18).

Как выдержать паритет

С учетом изложенного выше в целях контроля соблюдения работниками внутреннего трудового распорядка, обеспечения их личной безопасности, а также сохранности имущества организации, по мнению автора, компании, планирующей ввести электронный учет рабочего времени, необходимо предпринять следующие шаги:

- принять локальный акт, регламентирующий организацию пропускного режима,

- в том числе предусматривающий состав сведений о работнике, содержащихся на магнитной карте, и порядок ее использования, порядок и цели фотографирования, меры по сохранению полученных персональных данных работников, сроки их хранения, ответственных лиц и т.п.;

- ознакомить каждого работника с этим локальным актом под подпись;

- внести соответствующие дополнения в правила внутреннего трудового распорядка и положение о защите, хранении, обработке и передаче персональных данных работников, с которыми также ознакомить всех работников под подпись.

В рассматриваемой ситуации работник может отказаться от дачи соответствующего письменного согласия, о котором ранее упоминалось. В этом случае работодатель не сможет оформить работнику пропуск для прохода на территорию организации. Таким образом, отсутствие согласия работника фактически будет означать невозможность исполнения им трудовых функций*(19).

Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника, предусмотрена статьей 90 Трудового кодекса, в силу которой лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Так, нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц - от 500 до 1000 рублей; на юридических лиц - от 5000 до 10 000 рублей*(20).

См. Федеральный закон от 27 июля 2006 г. N 152-ФЗ

-------------------------------------------------------------------------

*(1) ч. 1 ст. 23, ч. 1 ст. 24 Конституции РФ

*(2) определение КС РФ от 09.06.2005 N 248-О

*(3) абз. 7 ч. 1 ст. 22 ТК РФ

*(4) апелляционное определение СК по гражданским делам Московского городского суда от 10.09.2012 N 11-200120; решение Центрального районного суда г. Тольятти от 20.12.2012 N 2-5285/2012

*(5) ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ (далее - Закон N 152-ФЗ)

*(6) определение ВС РФ от 27.06.2013 N АПЛ13-244

*(7) определения Иркутского областного суда от 16.01.2014 N 33-219/14, Магаданского областного суда от 22.02.2011 N 2-7/2011

*(8) п. 3 ч. 1 ст. 3 Закона N 152-ФЗ

*(9) ч. 5 ст. 5 Закона N 152-ФЗ

*(10) п. 1 ч. 1 ст. 6 Закона N 152-ФЗ

*(11) пп. 2-11 ч. 1 ст. 6, пп. 2-9 ч. 2 ст. 10 Закона N 152-ФЗ

*(12) п. 5 ч. 1 ст. 6 Закона N 152-ФЗ

*(13) ч. 1 ст. 11 Закона N 152-ФЗ

*(14) за исключением случаев, предусмотренных ч. 2 ст. 11 Закона N 152-ФЗ

*(15) ч. 4 ст. 9, ч. 2 ст. 11 Закона N 152-ФЗ

*(16) Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки от 30.08.2013

*(17) п. 8 ч. 1 ст. 86 ТК РФ

*(18) ст. 87, 88 ТК РФ

*(19) варианты возможных действий работодателя в такой ситуации рассмотрены на с. 28

*(20) ст. 13.11 КоАП РФ