Поговорим о защите персональных данных работников (Т.М. Медведева, "Пищевая промышленность: бухгалтерский учет и налогообложение", N 3, март 2015 г.)

Поговорим о защите персональных данных работников

Вопросы, связанные с обработкой персональных данных в сфере трудовых отношений, в настоящее время в тренде, что вполне объяснимо - мы наблюдаем невероятный технический прогресс, расширение возможностей обмена информацией - в первую очередь посредством Интернета - и т.д. Все эти факторы обуславливают необходимость обеспечения конфиденциальности информации, относящейся к частной жизни каждого человека. Более того, действующее законодательство не только определяет правила обработки персональных данных работников, но и гарантирует их защиту работодателем. Между тем некоторые предприятия, к сожалению, не уделяют должного внимания соблюдению названных правил, и подобная неосмотрительность может обернуться серьезными финансовыми потерями. Кем и при каких обстоятельствах работодатель может быть оштрафован? Как ему этого избежать? Подробности - в статье.

Вводная информация

Укажем нормативные акты, регламентирующие вопросы, связанные с обработкой и защитой персональных данных. Базовыми документами в обозначенной сфере являются:

- Закон N 152-ФЗ*(1);

- положения гл. 14 ТК РФ.

Здесь следует упомянуть и Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по вопросам, касающимся обработки персональных данных работников (далее - Разъяснения)*(2), и, разумеется, КоАП РФ, положения которого предусматривают ответственность не только юридического лица, но и его руководителя, а также должностных лиц, работающих с персональными данными работников.

Далее определимся с терминами. В контексте заявленной темы мы будем оперировать следующими понятиями: "персональные данные", "оператор" и "обработка персональных данных".

Под обработкой персональных данных в силу ч. 3 ст. 3 Закона N 152-ФЗ понимается любое действие (или совокупность действий), совершаемое с персональными данными (с использованием средств автоматизации или без использования таковых). Под действием понимаются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор - лицо, которое организует и осуществляет обработку персональных данных (ч. 2 ст. 3 Закона N 152-ФЗ). С учетом сказанного получается, что любое предприятие (работодатель) становится оператором персональных данных работника после получения их в свое распоряжение. С этого момента оно обязано обеспечить их защиту в соответствии с требованиями Закона N 152-ФЗ.

Осталось выяснить, что такое персональные данные физического лица, за разглашение которых оператор несет ответственность (например, административную). Но сразу оговоримся: данное понятие является оценочным, следовательно, этот вопрос заслуживает детального рассмотрения.

Какая информация рассматривается как персональные данные работника?

Статья 3 Закона N 152-ФЗ определяет персональные данные как информацию (подчеркнем: любую), прямо или косвенно относящуюся к субъекту персональных данных (то есть физическому лицу). Иначе говоря, персональные данные - это персонализированная информация, которая позволяет однозначно определить, о каком именно лице идет речь.

Вместе с тем конкретного перечня сведений, относимых к персональным данным, ни Закон N 152-ФЗ, ни положения гл. 14 ТК РФ не содержат. Указанное обстоятельство как раз и доказывает тот факт, что анализируемое понятие является оценочным, в связи с чем у оператора (работодателя) есть определенный простор для творчества в части квалификации тех или иных сведений о работнике в качестве персональных данных. Впрочем, увлекаться здесь тоже не нужно, принцип "чем больше, тем лучше" в этом случае не работает.

Какую именно информацию следует отнести к разряду персональных данных? Повторимся: таковой по праву можно считать информацию, на основании которой возможна безошибочная идентификация субъекта персональных данных. И если речь идет о субъекте - работнике предприятия, то к категории персональных данных имеет смысл отнести информацию о его:

- фамилии, имени, отчестве;

- дате и месте рождения;

- адресе (месте регистрации);

- семейном, социальном и имущественном положении;

- образовании, профессии;

- доходах, имуществе и имущественных обязательствах.

Обезличенная информация не может быть отнесена к категории персональных данных.

Итак, персональные данные - это прежде всего те сведения, которые работник изначально сообщает сам о себе при приеме на работу и которые впоследствии используются предприятием при оформлении кадровой документации и подготовке различных отчетов, направляемых, например, во внебюджетные фонды, в налоговую инспекцию, органы статистики и т.д.

Кроме того, персональные сведения о работнике могут быть получены у третьей стороны, но с письменного согласия самого работника. Этот момент оговорен в ч. 3 ст. 86 ТК РФ.

К сведению. Помимо общих персональных данных Закон N 152-ФЗ выделяет следующие категории персональных данных:

- специальные персональные данные (категория персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). Обработка указанной категории данных не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона N 152-ФЗ;

- биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность). Такие сведения могут быть обработаны только с согласия субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона N 152-ФЗ.

Цели и принципы обработки персональных данных

Цели обработки персональных данных определены ст. 86 ТК РФ. Таковыми, в частности, являются обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников.

Основные принципы обработки определены ст. 5 Закона N 152-ФЗ:

- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;

- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях - и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается каждым работодателем самостоятельно с соблюдением требований Трудового кодекса и иных федеральных законов (в том числе Закона N 152-ФЗ). В соответствии с ч. 8 ст. 86 ТК РФ работники (и их представители) должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Исходя из совокупности положений ст. 86 и 87 ТК РФ каждый работодатель должен разработать и утвердить локальный нормативный акт, регулирующий вопросы обработки персональных данных работников. Этот локальный акт - положение о персональных данных. Что в нем следует отразить?

Что нужно предусмотреть в положении о персональных данных?

В названном положении нужно прописать все требования, установленные законом в части получения, обработки, хранения, комбинирования, передачи и любого другого (подчеркнем: законного) использования персональных данных работников, а также гарантии по их защите. В частности, в документе необходимо отразить, кто и в каком порядке имеет доступ к полученным сведениям, каковы меры, направленные на их сохранение и неразглашение, и порядок их передачи - и внутри предприятия, и третьим лицам (например, контролирующим органам).

Разумеется, в положении о персональных данных должно быть зафиксировано, какие именно сведения и информация, используемые предприятием, относятся к категории персональных данных. Нелишним будет также оговорить, какие документы, содержащие персональные данные работников, предприятие будет представлять в различные государственные органы (внебюджетные фонды, налоговую, трудовую инспекции, органы статистики и т.д.).

Другой обязательной информацией, подлежащей отражению в положении о персональных данных, является перечень должностных лиц, наделенных полномочиями по обработке, хранению и использованию персональных данных и, соответственно, несущих ответственность за нарушение требований законодательства. Важный нюанс: в положении лучше ограничиться указанием только должностей, а конкретных сотрудников (физических лиц), ответственных за работу с персональными данными, назначать на основании соответствующего приказа руководителя предприятия. В таком случае при увольнении сотрудника не придется заново переписывать локальный нормативный акт.

В качестве приложения к положению о персональных данных следует разработать и утвердить шаблоны документов-согласий работника на обработку и передачу персональных данных (подробнее об этом поговорим чуть позже).

Положение о персональных данных, как и любой другой локальный нормативный акт, утверждается на основании соответствующего приказа руководителя организации. При наличии в организации представительного органа работников (профсоюза) обозначенный документ должен приниматься с учетом требований, установленных ст. 372 ТК РФ.

Положения абз. 3 ст. 68 и ч. 8 ст. 86 ТК РФ гласят о том, что работники и их представители должны быть под роспись ознакомлены с положением о персональных данных. Обращаем внимание: конкретных указаний на этот счет (в каком именно документе должен расписаться работник) законодательные нормы не содержат. Следовательно, работодатель в целях выполнения обозначенного требования может оформить журнал, в котором работники будут расписываться в том, что ознакомлены с соответствующими локальными нормативными актами (включая положение о персональных данных). Возможны и иные способы "ознакомления под роспись", например отражение данного факта в трудовом договоре.

Оформляем согласие работника на обработку и передачу персональных данных

Казалось бы, устраиваясь на работу и предоставляя свои данные, работник, по сути, одновременно дает и согласие на их обработку. Это следует из положений ч. 1 ст. 9 Закона N 152-ФЗ. В то же время в названной норме подчеркнуто, что согласие должно быть конкретным, информированным и сознательным. Согласие может быть дано субъектом персональных данных (или его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом N 152-ФЗ. Что в таком случае может быть лучше письменного согласия работника?

Иначе говоря, согласие работника на обработку его персональных данных должно быть оформлено в письменном виде (подчеркнем: произвольном, поскольку законодательно утвержденный бланк отсутствует).

При разработке подобного документа работодателю необходимо обратить внимание на вышеупомянутые Разъяснения. Авторы названного документа отмечают: обработка персональных данных работника не требует получения соответствующего согласия указанного лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленных перечней, а также соответствует целям обработки, предусмотренным трудовым законодательством.

Другими словами, работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка (обычно являющимися приложением к коллективному договору), соглашением и локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ.

Также не требуется согласия на обработку персональных данных, если они получены:

- из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК РФ;

- по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений);

- из личной карточки или в иных случаях, установленных законодательством РФ (например, при получении алиментов, оформлении допуска к государственной тайне, оформлении социальных выплат) (п. 2 Разъяснений);

- от кадрового агентства, действующего от имени соискателя на вакантную должность (п. 5 Разъяснений);

- из резюме соискателя, размещенного в Интернете и доступного неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Закона N 152-ФЗ, п. 5 Разъяснений).

Если персональные данные о работнике могут быть получены только у третьей стороны (такая возможность предусмотрена ст. 86 ТК РФ), то работник должен быть заранее уведомлен об этом и от него должно быть получено письменное согласие (в произвольной форме).

Передать персональные данные работника третьим лицам, в том числе в коммерческих целях, работодатель тоже может только с письменного согласия работника (абз. 2, 3 ч. 1 ст. 88 ТК РФ). Перед передачей персональных данных работодатель должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что обозначенное требование будет им соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).

Словом, для передачи персональных данных третьим лицам работодателю также необходимо письменное согласие работника, составленное в свободной форме. В этом документе (как, впрочем, и во всех ранее упомянутых согласиях и уведомлениях) должно быть четко прописано, какие именно операции с персональными данными совершает работодатель и какова их цель.

Однако в ряде случаев согласие работника на передачу персональных данных оформлять не требуется, в частности если передача данных осуществляется:

- третьим лицам в целях предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений);

- во внебюджетные фонды (ФСС, ПФР) в объеме, предусмотренном законом (абз. 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений);

- в налоговые органы и военные комиссариаты (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений);

- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем (ст. 370 ТК РФ, абз. 5 п. 4 Разъяснений);

- по мотивированному запросу органов прокуратуры и правоохранительных органов (абз. 7 п. 4 Разъяснений);

- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений);

- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом (абз. 5 ст. 228 ТК РФ).

Обратите внимание! Члены семьи, страховые компании, кредитные учреждения, благотворительные организации, негосударственные пенсионные фонды и иные аналогичные организации в указанный перечень третьих лиц не вошли. Следовательно, передача им персональных данных работника возможна только с письменного согласия последнего. Поэтому предоставление такой информации в отсутствие согласия работника является нарушением и, соответственно, основанием для привлечения самой организации, ее должностных лиц к ответственности.

Как видим, требование о получении согласия работника на обработку и передачу данных не является безусловным, поскольку действующим законодательством определен ряд случаев, когда получение такого согласия не является обязательным.

Обобщим сказанное. В целях соблюдения требований законодательства работодателю нужно получить согласие работника на совершение как минимум двух операций (действий) с его персональными данными: на их обработку и передачу третьим лицам. В этом случае возможно оформление как двух самостоятельных документов-согласий, так и одного документа. Главное, чтобы в них фигурировали оба согласия работника: и на обработку, и передачу.

За что и в каком размере может быть оштрафован работодатель?

За нарушение юридическим лицом правил работы с персональными данными ст. 13.11 КоАП РФ предусмотрена ответственность в виде штрафа в размере от 5 000 до 10 000 руб.

Казалось бы, величина указанного штрафа для предприятия невелика. Однако нужно учесть, что данный штраф налагается за каждое допущенное нарушение. Это означает, что изначально заявленные суммы (5 000 - 10 000 руб.) при выявлении не одного, а сразу нескольких нарушений увеличиваются в разы.

За невыполнение предписания надзорного органа (Роскомнадзора) об устранении нарушений законодательства о персональных данных на основании ст. 19.5 КоАП РФ возможно наложение штрафа в размере от 10 000 до 20 000 руб.

Согласно ст. 19.7 КоАП РФ оставление без ответа запроса этого органа касательно персональных данных грозит предприятию штрафом от 3 000 до 5 000 руб.

Также следует учесть, что при отсутствии на предприятии положения о персональных данных, нарушении правил хранения трудовых книжек*(3) и личных карточек работников*(4) (и трудовые книжки, и личные карточки являются носителями персональных данных работников) к данному предприятию могут быть применены санкции, предусмотренные ст. 5.27 КоАП РФ: штраф в размере от 30 000 до 50 000 руб. или административное приостановление деятельности организации на срок до 90 суток. За повторное нарушение, предусмотренное названной статьей, размер штрафа возрастет и составит уже 50 000 до 70 000 руб.

Это еще не все. Упомянутой ранее ст. 13.11 КоАП РФ предусмотрена ответственность для руководителя предприятия-работодателя. Размер санкции для него составляет от 500 до 1 000 руб.

Ответственность должностного лица, работающего с персональными данными

Работодатели обязаны соблюдать режим конфиденциальности персональных данных (ст. 7 Закона N 152-ФЗ). Подтверждением тому, что названное требование соблюдается, может служить журнал учета персональных данных*(5), в котором отмечается, кто, когда и с какой целью имел доступ к конфиденциальной информации. Кстати, контролирующие органы при проверке, как правило, истребуют указанный журнал.

Если сотрудник, имеющий доступ к персональным данным работников, по каким-то причинам разгласил эти данные, то он может быть привлечен к ответственности, предусмотренной ст. 90 ТК РФ. Но привлечь его к ответственности можно только при наличии обязательства о неразглашении таких сведений. На данное обстоятельство Пленума ВС РФ обратил внимание в п. 43 Постановления от 17.03.2004 N 2. Поэтому при наделении должностного лица полномочиями на доступ к персональным данным других работников (их сбор, обработку и передачу третьим лицам) одновременно с таким лицом необходимо оформить еще и обязательство (в произвольной форме) о неразглашении указанной информации.

На основании ст. 90 ТК РФ должностное лицо, работающее с персональными данными, может быть привлечено к следующим видам ответственности (ст. 90 ТК РФ):

- дисциплинарной. Согласно пп. "в" п. 6 ч. 1 ст. 81 ТК РФ трудовой договор с работником по инициативе работодателя может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной в связи с исполнением трудовых обязанностей (в том числе разглашения персональных данных другого работника). Однако для применения ответственности этого вида необходимо доказать сам факт разглашения персональных данных должностным лицом. Наличия лишь возможности для осуществления такого деяния недостаточно (см., например, Апелляционное определение Иркутского областного суда от 19.09.2013 по делу N 33-7662/2013);

- материальной. В случае незаконного распространения информации о персональных данных работнику может быть причинен моральный вред. Работник вправе потребовать его возмещения от работодателя (см. Апелляционное определение Верховного Суда Республики Саха (Якутия) от 23.10.2013 по делу N 33-4172/13). Последний впоследствии может взыскать его с непосредственного виновного лица (ст. 238, 248 ТК РФ);

- гражданско-правовой. Моральный вред, причиненный субъекту персональных данных, может также быть взыскан в денежной форме в соответствии с гражданским законодательством (ст. 151 ГК РФ);

- административной. Штрафные санкции за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о персональных данных составят от 500 до 1 000 руб. (ст. 13.11 КоАП РФ), за разглашение персональных данных - от 4 000 до 5 000 руб. (ст. 13.14 КоАП РФ), за отказ в предоставлении информации по запросу - от 1 000 до 3 000 руб. (ст. 5.39 КоАП РФ);

- уголовной, предусмотренной положениями ст. 137, 140, 272 УК РФ.

Кого ждать с проверкой?

Проверить предприятие на предмет соблюдения режима работы с персональными данными могут контролеры из двух ведомств.

Первое ведомство - Роскомнадзор. Помимо ряда специфических надзорных функций, данное ведомство проверяет законность обработки персональных данных (ч. 1 ст. 23 Закона N 152-ФЗ, п. 5.1.1.4 Положения*(6)).

Существенный момент. Несмотря на то что п. 9 ч. 3 ст. 23 Закона N 152-ФЗ предусмотрено право Роскомнадзора на привлечение к административной ответственности виновных лиц, в силу п. 58 ч. 2 ст. 28.3 КоАП РФ названное ведомство не наделено полномочиями по составлению протоколов об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ. В силу ч. 1 ст. 28.4 КоАП РФ такими полномочиями наделена только прокуратура. То есть все материалы проверок, по которым обнаружены нарушения, Роскомнадзор должен передавать в прокуратуру. А вопрос о наложении штрафов решается судьей (ч. 1 ст. 23.1 КоАП РФ).

Второе ведомство - Роструд. На основании ст. 353, 356 ТК РФ инспекторы по труду вправе осуществлять контроль за соблюдением работодателем трудового законодательства, в том числе в части обработки персональных данных. И это логично, поскольку положениями гл. 14 ТК РФ (наравне с Законом N 152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты.

Добавим: в соответствии с пп. 16 ч. 2 ст. 28.3 КоАП РФ ревизоры Роструда вправе в пределах своих полномочий составлять протоколы об административных правонарушениях, в том числе предусмотренных ч. 2 ст. 5.27 КоАП РФ.

Итак, проверить работодателя на предмет соблюдения требований законодательства о персональных данных, гарантий по их защите вправе два ведомства - Роскомнадзор и Роструд.

Порядок проведения подобных проверок регламентирован положениями соответствующих регламентов (регламент для Роскомнадзора утвержден Приказом Минкомсвязи России от 14.11.2011 N 312, регламент для Роструда - Приказом Минтруда России от 30.10.2012 N 354н). В общем случае срок проведения контролерами названных ведомств как плановой, так и внеплановой проверки не может превышать 20 рабочих дней. Периодичность проведения плановых проверок - раз в три года. Кроме того, нормативные документы предусматривают возможность проведения проверок как по отдельности каждым ведомством, так и совместно.

Т.М. Медведева,

эксперт журнала "Пищевая промышленность:

бухгалтерский учет и налогообложение"

"Пищевая промышленность: бухгалтерский учет и налогообложение", N 3, март 2015 г.

------------------------------------------------------------------------

*(1) Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".

*(2) Данные разъяснения размещены на официальном сайте ведомства (www.rsoc.ru) 24.12.2012.

*(3) Правила ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей, утв. Постановлением Правительства РФ от 16.04.2003 N 225.

*(4) Форма Т-2 утверждена Постановлением Госкомстата России от 05.01.2004 N 1.

*(5) Форма подобного журнала не установлена, следовательно, предприятие может разработать ее самостоятельно.

*(6) Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (утв. Постановлением Правительства РФ от 16.03.2009 N 228).

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.