Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Персональные данные: обрабатываем, храним и защищаем (Т.Ю. Комиссарова, журнал "Отдел кадров государственного (муниципального) учреждения", N 3, март 2016 г.)
-
Персональные данные: обрабатываем, храним и защищаем (Т.Ю. Комиссарова, журнал "Отдел кадров государственного (муниципального) учреждения", N 3, март 2016 г.)
-
Какие данные считать персональными?
-
Правила обработки, хранения и защиты персональных данных
-
В заключение
Персональные данные: обрабатываем, храним и защищаем
Т.Ю. Комиссарова,
эксперт журнала "Отдел кадров государственного
(муниципального) учреждения"
Журнал "Отдел кадров государственного (муниципального) учреждения", N 3, март 2016 г., с. 30-40.
Практически все работодатели знают, что персональные данные работников необходимо получать, хранить и передавать с соблюдением требований законодательства в этой области. Однако не все до конца понимают, какую информацию о сотрудниках можно отнести к персональным данным, как обеспечить соблюдение всех необходимых требований, да и об ответственности задумываются редко, надеясь на русский "авось". Между тем ничего сложного в соблюдении законодательства в области персональных данных нет. Сегодня расскажем, как должна быть организована работа с такими данными в организации.
Какие данные считать персональными?
Для начала разберемся, какие сведения о работниках считаются персональными данными.
Согласно ч. 1 ст. 3 Закона N 152-ФЗ*(1) ими считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Заметим, что раньше в ст. 85 ТК РФ (с 2013 года она исключена из Трудового кодекса) было определение персональных данных для применения в трудовых отношениях. Однако законодатели посчитали, что определение, имеющееся в Законе N 152-ФЗ, можно применять к отношениям, связанным с персональными данными, в любой сфере.
Тем не менее, в некоторых нормативных актах содержатся дополнительные определения этого термина в зависимости от сферы деятельности учреждения. Например, п. 2 Положения о персональных данных государственного гражданского служащего, утвержденного Указом Президента РФ от 30.05.2006 N 609, определено, что под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с настоящим Положением.
Исходя из нормативных актов, к персональным данным можно отнести:
- фамилию, имя, отчество, дату и место рождения;
- сведения об образовании (в том числе послевузовском профессиональном) - номера дипломов, названия образовательных организаций, квалификация, присвоенная гражданину, ученая степень и пр.;
- семейное, социальное и имущественное положение работника;
- профессию и места работы.
Но это далеко не все сведения, которые можно отнести к персональной информации. Например, Минюст в Приказе от 21.03.2013 N 36*(2) уточнил перечень персональных данных, обрабатываемых ведомством в связи с трудовыми отношениями, и отнес к ним:
- прежние фамилию, имя, отчество работника, дату, место и причину их изменения (в случае изменения);
- классный чин федеральной государственной гражданской службы, гражданской службы субъекта РФ, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены);
- степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
- места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
- фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен);
- пребывание за границей (когда, где, с какой целью);
- номер телефона;
- идентификационный номер налогоплательщика, номер страхового свидетельства обязательного пенсионного страхования;
- наличие (отсутствие) судимости;
- допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата);
- наличие (отсутствие) заболевания, препятствующего поступлению на государственную гражданскую службу РФ или ее прохождению, подтвержденное заключением медицинского учреждения.
Примечание. Персональными данными можно считать любые сведения, позволяющие идентифицировать определенного человека, даже без использования его имени, фамилии и даты рождения.
Конечно же, все эти сведения содержатся в документах. В первую очередь внимание надо обратить на паспорт или иной документ, удостоверяющий личность гражданина. Кроме этого, персональные данные имеются в документах, предъявляемых при трудоустройстве (см. перечень в ст. 65 ТК РФ), справках о состоянии здоровья (если необходимость их представления установлена законодательством (ст. 69, 213 ТК РФ)) и в различных документах, подтверждающих право работника на определенные льготы или предоставляемых работником для облегчения условий труда (например, о возрасте ребенка или состоянии беременности).
Вопрос. Можно ли отнести к персональным данным фотографию работника?
Считаем, что работодатель не может использовать фотографию работника без его согласия. Мы пришли к такому выводу на основании ч. 1 ст. 152.1 ГК РФ, согласно которой обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина.
Однако согласие получать не требуется, когда:
- использование изображения осуществляется в государственных, общественных или иных публичных интересах;
- изображение гражданина получено при съемке, которая проводилась в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
- гражданин позировал за плату.
Правила обработки, хранения и защиты персональных данных
В Законе N 152-ФЗ сформулированы основные правила обработки, хранения и защиты персональных данных. Применительно к трудовым отношениям общие требования при обработке таких данных работника и гарантии их защиты установлены ст. 86 ТК РФ.
1. Обработка персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таковых с этими данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.
Такая обработка проводится работодателем практически ежедневно - при начислении заработной платы, расчете взносов в ПФР, отправлении работников в отпуск или командировку.
К сведению. Постановлением Правительства РФ от 15.09.2008 N 687 утверждено положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.
Итак, работодатель или его представитель при обработке персональных данных работников обязаны соблюдать следующие требования (ст. 86 ТК РФ):
- обработка может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- все персональные данные работника следует получать у него самого. Если их можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение;
- нельзя получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;
- работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также со своими правами и обязанностями в этой области.
Обратите внимание на то, что обработка персональных данных осуществляется с согласия работника (п. 1 ч. 1 ст. 6, ст. 9 Закона N 152-ФЗ). На основании ст. 9 Закона N 152-ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменной, в форме электронного документа*(3)), если иное не установлено федеральным законом. Случаи, когда согласие может оформляться в форме электронного документа, определяются федеральными законами, но пока соответствующих нормативных актов нет.
Отметим, что в большинстве случаев при возникновении спора суды проверяют именно наличие согласия. Например, Апелляционным определением Алтайского краевого суда от 29.09.2015 по делу N 33-9241/2015 с ООО была взыскана компенсация морального вреда за передачу номера телефона сотрудника. Суд, рассматривая дело, подтвердил, что ООО совершило действия, направленные на сбор, обработку, распространение данных Е.Ю.А., в частности в отношении номера мобильного телефона, не имея согласия сотрудника на это. ООО считало, что телефонный номер не относится к персональным данным, однако суд разъяснил, что номер телефона непосредственно связан с Е.Ю.А., значит, относится к указанной категории сведений.
Обратите внимание! Законодательство не всегда содержит требование о письменной форме согласия на обработку персональных данных, следовательно, его можно получить и в устной форме. Но доказывать, что согласие получено, должен работодатель. Поэтому во избежание спорных моментов рекомендуем в любом случае получать согласие в письменной форме.
Согласие на обработку персональных данных в письменной форме должно включать в себя, в частности:
- ФИО, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- ФИО, адрес представителя работника, реквизиты основного документа, удостоверяющего его личность, включая сведения о дате его выдачи, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес работодателя;
- цель обработки, а также перечень персональных данных;
- наименование или ФИО и адрес лица, осуществляющего обработку персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки данных;
- срок действия согласия и способ отзыва;
- подпись работника.
Приведем пример.
Согласие
на обработку персональных данных
Я, Иванов Иван Иванович, в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в целях соблюдения законов и иных нормативных актов, а также для:
- регулирования трудовых отношений;
- начисления заработной платы и исчисления и уплаты предусмотренных законодательством РФ налогов и сборов, взносов на обязательное социальное и пенсионное страхование;
- отражения информации в кадровых документах;
- предоставления сведений в банк для оформления банковской карты и перечисления на нее заработной платы, -
даю согласие Муниципальному унитарному предприятию "Красноярское коммунальное хозяйство", расположенному по адресу г. Красноярск, ул. Башиловская, д. 34, на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование и уничтожение следующих моих персональных данных.
1. Фамилия, имя, отчество, дата и место рождения.
2. Образование (наименование учебного заведения, год окончания, документ об образовании, квалификация, специальность).
3. Профессия.
4. Стаж работы (общий, непрерывный, дающий право на выслугу лет).
5. Семейное положение (состав семьи (степень родства (ближайшие родственники), ФИО родственников, год их рождения)).
6. Паспорт (номер, дата выдачи, кем выдан), адрес места жительства (по паспорту, фактический), дата регистрации по месту жительства.
7. Номер телефона (домашний, сотовый).
8. Сведения о воинском учете.
9. Сведения о состоянии здоровья, необходимые работодателю для определения пригодности для выполнения поручаемой работы и предупреждения профессиональных заболеваний, предусмотренные действующим законодательством РФ.
10. ...
Настоящее согласие может быть отозвано письменным заявлением, представленным начальнику отдела кадров согласно Положению "Об обработке и защите персональных данных" МУП "Красноярское коммунальное хозяйство".
Иванов, | 18.02.2016 | Иванов И.И. |
Не требует согласия обработка персональных данных при условии, что объем обрабатываемых работодателем данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством о государственной гражданской службе (Разъяснения Роскомнадзора "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве").
Кроме этого, работодатель вправе без согласия работника осуществлять обработку его персональных данных в случаях:
- предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя;
- обработки персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой Т-2;
- получения (в рамках установленных полномочий) мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля;
- когда обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий;
- если обработка связана с выполнением работником его трудовых обязанностей.
Обратите внимание! Обработка персональных данных может быть поручена другому лицу (физическому или юридическому), не состоящему в штате, с согласия их субъекта на основании заключаемого с указанным лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (ч. 3 ст. 6 Закона N 152-ФЗ).
2. Хранение, предоставление и передача персональных данных. На основании ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. То есть работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного использования или утраты. С таким актом, как и со своими правами в сфере защиты персональных данных, работники должны быть ознакомлены под роспись.
В локальном же нормативном акте целесообразно предусмотреть требования к помещениям, в которых находятся носители информации (например компьютеры с базами данных, документы на бумажных носителях), содержащие персональные данные работников. Единых требований к таким помещениям нет ни в Законе N 152-ФЗ, ни в Трудовом кодексе. Их можно определить, опираясь на нормативные акты, устанавливающие требования к хранению отдельных видов документов. Например, исходя из п. 21 Методических рекомендаций по ведению воинского учета в организациях (утвержденных Генштабом Вооруженных Сил РФ 11.04.2008), документы воинского учета, содержащие персональные данные работников, надо хранить в железных шкафах в специально оборудованных помещениях.
Обратите внимание! При хранении персональных данных должны соблюдаться условия, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. Перечень мер для обеспечения таких условий, порядок их принятия и перечень лиц, ответственных за их реализацию, устанавливаются работодателем.
Особенности передачи данных о работниках закреплены в ст. 88 ТК РФ. Не будем их рассматривать подробно: основные требования - запрет сообщения персональных данных третьей стороне без письменного согласия работника, а также обеспечение возможности доступа к персональным данным работников только для специально уполномоченных лиц. Скажем лишь пару слов о распространенной ситуации, когда отдельным работникам нужно получить информацию о персональных данных других работников. Например, секретарю (или иному лицу) при направлении сотрудника в командировку понадобятся его паспортные данные для покупки билетов. Нужно ли согласие сотрудника в таком случае?
В соответствии со ст. 88 ТК РФ работодатель может разрешить доступ к персональным данным работников только специально уполномоченным лицам, причем им будут доступны лишь те данные, которые необходимы для выполнения конкретных функций. Перечень работников, которые имеют доступ к персональным данным других работников, должен быть установлен локальным нормативным актом организации и приказом организации.
3. Защита персональных данных. В силу ст. 19 Закона N 152-ФЗ работодатель обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, а также от иных неправомерных действий в отношении них. Для этого ему необходимо определить слабые места в процессе обработки данных, оценить эффективность тех или иных мер для обеспечения безопасности таких данных.
Предлагаем следующие меры по обеспечению сохранности персональных данных.
Для защиты от внешних угроз | Для внутренней защиты |
Установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей | Ограничить состав работников, обязанности которых требуют доступа к персональным данным других работников |
Установить особый порядок выдачи пропусков и удостоверений работников | Размещать рабочие места так, чтобы было исключено бесконтрольное использование защищаемой информации |
Использовать технические средства охраны | Создавать необходимые условия для работы с документами и с базами данных, содержащими персональные данные |
Использовать программно-технический комплекс защиты информации на электронных носителях | Определять состав работников, имеющих право доступа (входа) в помещения, в которых хранятся персональные данные |
Организовать порядок уничтожения информации | |
Своевременно выявлять и устранять нарушения установленных требований по защите персональных данных работников |
Отметим, что если в учреждении используется электронная система хранения и обработки данных, необходимо соблюдать Требования к защите персональных данных при их обработке в информационных системах, утвержденные Постановлением Правительства РФ от 01.11.2012 N 1119. Состав и содержание мер по обеспечению безопасности персональных данных определены Приказом ФСТЭК РФ от 18.02.2013 N 21.
Разработка и применение порядка обработки, хранения и защиты персональных данных очень важны: за разглашение таких данных и нарушение норм законодательства в этой области работодателю грозит ответственность не только дисциплинарная (пп. "в" п. 6 ч. 1 ст. 81 ТК РФ), но и административная (ст. 13.11 КоАП РФ), и уголовная (ст. 137 УК РФ). А статьей 90 ТК РФ предусматривается также материальная ответственность и гражданско-правовая.
В заключение
Подводя итог, обратим внимание на важный аспект, о котором кадровики не всегда задумываются: обязательства по защите персональных данных касаются информации не только о работающих сотрудниках, но и о тех, кто всего лишь приходил на собеседование. Понятно, что если резюме просмотрено в Интернете, никакого согласия его автора на обработку данных не требуется, так как информация размещена в открытом доступе. Если на вакансию претендовало несколько соискателей, то при отказе в приеме на работу Роскомнадзор в разъяснениях рекомендует сведения, предоставленные соискателем, уничтожить в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, для которых установлен трехлетний срок хранения персональных данных соискателя.
-------------------------------------------------------------------------
*(1) Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".
*(2) "Об утверждении перечня персональных данных, обрабатываемых в Министерстве юстиции Российской Федерации в связи с реализацией трудовых отношений, а также типовой формы согласия на обработку персональных данных федеральных государственных гражданских служащих Министерства юстиции Российской Федерации и иных субъектов персональных данных".
*(3) В таком случае согласие должно быть подписано электронной подписью в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи".
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журналы издательства "Аюдар Инфо"
На страницах журналов вы всегда найдете комментарии и рекомендации экспертов, ответы на актуальные вопросы, возникающие в процессе вашей работы. Авторы - это аудиторы-практики, налоговые консультанты и работники налоговых служб, они всегда подскажут вам, как правильно строить взаимоотношения с налоговой инспекцией, оптимизировать налоги законным путем, помогут разобраться в новом нормативном акте, применить его на практике и избежать ошибок в работе.
Издатель: ООО "Аюдар Инфо"