Организуем работу с персональными данными сотрудников (Ю. Жижерина, "Кадровая служба и управление персоналом предприятия", N 2, февраль 2015 г.)

Организуем работу с персональными данными сотрудников

Одним из видов охраняемой законом информации являются персональные данные. Как гласит ст. 23 Конституции РФ, каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Но всякая ли информация будет защищаться? Посмотрим, каков порядок получения, хранения, защиты и передачи персональных данных.

В п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) указано, что персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Как видите, конкретного перечня нет, достаточно, чтобы такая информация позволяла определить, к какому лицу она относится.

Там же указано, кто обязан принимать меры по защите персональных данных. Это и государственные органы, и юридические и физические лица, которые обрабатывают персональные данные, с использованием средств автоматизации или без них, если обработка персональных данных позволяет осуществлять поиск персональных данных. Таким образом, практически все организации так или иначе сталкиваются с обработкой персональных данных*(1) как своих сотрудников, так и клиентов (при оформлении бонусных или скидочных карт). В этом случае их называют операторами (п. 2 ст. 3 Закона N 152-ФЗ).

Получение персональных данных

Рассмотрим регулирование защиты персональных данных работника в рамках трудовых отношений с работодателем.

Прежде всего следует очертить круг тех документов и баз данных, в которых содержатся персональные данные работников и которые необходимо защищать от несанкционированного доступа. Так как понятие персональных данных включает в себя любую информацию, позволяющую идентифицировать работника, практически все документы, касающиеся сотрудников - как на бумажных носителях, так и электронные, будут являться носителями персональных данных.

К документам, содержащим персональные данные работников, можно, например, отнести следующие:

- анкету, автобиографию, личный листок по учету кадров, которые на практике часто заполняются работником при приеме на работу;

- копии документов, хранящиеся в личном деле работника: копии документа, удостоверяющего личность, документов воинского учета, документа об обязательном пенсионном страховании, свидетельств о заключении брака, рождении детей, документов об образовании;

- трудовую книжку;

- личную карточку;

- трудовой договор и дополнительные соглашения к нему;

- подлинники и копии приказов по личному составу;

- документы оплаты труда;

- документы об обучении, оценке, аттестации работников;

- базы данных, обрабатываемые автоматически (например, таблицы Excel, базы программы 1С);

- иные документы, содержащие персональные данные работников.

Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ). Получаемые персональные данные должны соответствовать только указанным целям.

Запрашивать некоторую информацию прямо запрещено законодательством. Например, работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), а также данные работника о его членстве в общественных объединениях или его профсоюзной деятельности (п. 4 и 5 ст. 86 ТК РФ).

Если работодатель требует личные данные, не соответствующие указанным целям или относящиеся к запрещенным, работник имеет право отказаться их предоставлять.

Пример 1. Отказ работника от предоставления данных

При трудоустройстве работника кадровик заполнял личную карточку по форме N Т-2, в которой есть раздел "Состав семьи", и попросил назвать фамилию, имя, отчество жены для внесения этих данных в личную карточку. Работник отказался сообщить данные, заметив при этом, что они не являются необходимыми для его трудоустройства или карьерного продвижения, а форма личной карточки не носит обязательный характер.

Все персональные данные сотрудника следует получать у него самого (п. 3 ст. 86 ТК РФ). Если информацию можно получить только у третьей стороны, то работник должен быть об этом уведомлен заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение. Это положение относится не к работникам, а прежде всего к соискателям, когда организация запрашивает рекомендации с предыдущих мест работ. Получение согласия является обязательным условием при направлении компанией запросов в иные организации, в том числе на прежние места работы, для уточнения или получения дополнительной информации о кандидате. Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим, причем не для запроса информации, а для уведомления прежнего работодателя в порядке ч. 3 ст. 64.1 ТК РФ.

К сведению. Роскомнадзор подтвердил необходимость получения согласия соискателей (разъяснения от 24.12.2012 "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве", далее - Разъяснения Роскомнадзора). Делать это не надо только в том случае, если от имени соискателя действует кадровое агентство, с которым данное лицо заключило договор, а также при самостоятельном размещении соискателем резюме в Интернете, доступном неограниченному кругу лиц.

В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем (например, приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т.д.).

Если сбор персональных данных соискателей осуществляется с использованием анкеты, то она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 N 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо об отказе в приеме на работу. Кстати, типовая форма анкеты соискателя может быть доступна на сайте организации, где согласие на обработку персональных данных кандидат подтверждает, проставляя отметку в соответствующем поле.

Организация системы защиты персональных данных работников

Основным принципом, определяющим работу с персональными данными, является их конфиденциальность. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Закона N 152-ФЗ).

Именно этим правилом должен руководствоваться работодатель при организации работы с персональными данными сотрудников. Определив документы, содержащие персональные данные, и способы их получения, необходимо перейти к организации системы защиты персональных данных.

Шаг 1. Издание локального нормативного акта

Прежде всего нужно издать Положение о защите персональных данных*(2), которое будет регулировать порядок их хранения и использования (ст. 87 ТК РФ). Причем работников следует ознакомить с ним под подпись (п. 8 ст. 86 ТК РФ).

Судебная практика. Организация была оштрафована ГИТ за нарушение требований ст. 87 ТК РФ, согласно которым в обществе должен быть разработан порядок хранения и использования персональных данных работников. Суд подтвердил законность привлечения к ответственности (решение Верховного суда Республики Карелия от 11.04.2014 по делу N 21-153/2014, постановление Девятого Арбитражного апелляционного суда от 24.08.2006 по делу N 09АП-9595/06-АК).

Шаг 2. Назначение ответственного лица

Работодателю необходимо назначить лицо, ответственное за организацию обработки персональных данных (ч. 1 ст. 22.1 Закона N 152-ФЗ). При его выборе следует помнить, что он будет нести ответственность за сохранность информации как на бумажных носителях, так и в электронном виде. Некоторые организации назначают двух ответственных лиц: одного - за работу с персональными данными на бумажных носителях (например, специалиста отдела кадров), другого - за работу с персональными данными в электронном виде (например, системного администратора).

Назначение ответственного за работу с персональными данными работника оформляется приказом (Пример 2). Более того, данная обязанность отражается в должностной инструкции работника.

Пример 2. Приказ о назначении ответственного лица за обработку персональных данных

Общество с ограниченной ответственностью "Дэмпико"

Приказ

02.02.2015

N 15

Москва

О назначении ответственного лица

за обработку персональных данных

В целях обеспечения выполнения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"

Приказываю:

1. Назначить начальника отдела кадров Орлову И.В. ответственной за организацию обработки персональных данных.

2. Контроль за исполнением настоящего приказа возложить на заместителя генерального директора Смирнову А.В.

Генеральный директор               Богатов                   Т.С. Богатов

С приказом ознакомлены:

    Орлова              И.В. Орлова         02.02.2015

    Смирнова            А.В. Смирнова        02.02.2015

Шаг 3. Закрепление права доступа

Согласно ст. 88 ТК РФ работодатель обязан разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать лишь те персональные данные работника, которые необходимы для выполнения конкретных функций. Помня о том, что владение персональными данными должно быть связано с трудовыми отношениями, необходимо определить, кто из сотрудников вправе по роду деятельности знать информацию о коллегах. Форма разрешения доступа к персональным данным законом не установлена. Но лучше сделать это приказом по организации (Пример 3). В таком приказе согласно закону следует отразить, кто (должности, ФИО), к каким персональным данным и с какой целью (какие действия выполняет с использованием персональных данных работников) имеет доступ. В приказе необходимо отразить данные о сотрудниках, имеющих доступ к персональным данным как на бумажных носителях, так и в электронном виде.

Пример 3. Приказ об определении лиц, имеющих право доступа к персональным данным работников

Общество с ограниченной ответственностью "Дэмпико"

Приказ

03.02.2015

N 16

Москва

Об установлении перечня лиц, имеющих доступ к персональным данным работников

В соответствии со ст. 88 ТК РФ и п. 4.1 Положения о персональных данных ООО "Дэмпико"

Приказываю:

1. Определить перечень работников Общества, имеющих доступ к персональным данным сотрудников, согласно приложению к настоящему приказу.

2. Контроль исполнения приказа возложить на начальника отдела кадров Орлову И.В.

Генеральный директор                   Богатов               Т.С. Богатов

Приложение к приказу от 03.02.2015 N 16

Перечень сотрудников, имеющих доступ к работе с персональными данными

N	Должность	Фамилия, имя, отчество	Основания для доступа	Цели обработки	Состав персональных данных
1	Главный бухгалтер	Воробьева Алевтина Николаевна	Расчет зарплаты и налогообложение	Начисление зарплаты, исчисление, удержание и перечисление НДФЛ, страховых взносов, составление отчетности	Фамилия, имя, отчество, ИНН, регистрация по месту жительства, банковские данные
2	Менеджер по персоналу	Кириллова Анна Олеговна	Кадровое делопроизводство и кадровый учет	Отражение в документации по личному составу, составление отчетности, взаимодействие с негосударственным пенсионным фондом	Фамилия, имя, отчество, ИНН, регистрация по месту жительства, паспортные данные, номер СНИЛС
3	Офис-менеджер	Валуева Ольга Юрьевна	Взаимодействие с клиентами, заказчиками, представительские функции	Оформление пропусков и допусков, служебных поездок, доверенностей	Фамилия, имя, отчество, регистрация по месту жительства, паспортные данные

С приказом ознакомлены:

            Воробьева               А.Н. Воробьева             03.02.2015

            Орлова                  И.В. Орлова                03.02.2015

            Кириллова               А.О. Кириллова             03.02.2015

            Валуева                 О.Ю. Валуева               03.02.2015

Шаг 4. Получение обязательства о неразглашении

Как мы говорили ранее, на работодателя возложена обязанность по защите персональных данных работников от неправомерного их использования или утраты (п. 7 ст. 86 ТК РФ). Следовательно, работники, которые имеют доступ к персональным данным других сотрудников, обязаны не разглашать сведения, которые стали им известны в связи с выполнением ими трудовых обязанностей.

При этом привлечь к ответственности лиц, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей и они обязались ее не разглашать (п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 N 2 "О применении судами Российской Федерации Трудового кодекса Российской Федерации").

Поэтому работодатель должен оформить со всеми сотрудниками, имеющими в силу своих должностных обязанностей доступ к персональным данным работников, обязательство об их неразглашении (Пример 4). Ведь согласно ст. 88 ТК РФ необходимо предупредить лиц, получающих персональные данные сотрудников, о том, что они могут быть использованы лишь в целях, для которых они сообщены, и требовать от данных лиц подтверждения того, что это правило соблюдено.

Пример 4. Обязательство о неразглашении персональных данных

Обязательство о неразглашении персональных данных работников

Я, Даль Елена Семеновна, паспорт серии 07 00 номер 123456 выдан УВД Ярославского района г. Москвы 16 мая 2006 года, понимаю, что получаю доступ к персональным данным работников ООО "Дэмпико". Я также понимаю, что во время исполнения своих обязанностей я занимаюсь сбором, обработкой и хранением персональных данных работников.

Я понимаю, что разглашение такого рода информации может нанести ущерб работникам организации - как прямой, так и косвенный.

В связи с этим даю обязательство при работе (сборе, обработке и хранении) с персональными данными сотрудников соблюдать все описанные в Положении о персональных данных ООО "Дэмпико" требования.

Я подтверждаю, что не имею права разглашать сведения о (об): анкетных и биографических данных; образовании; трудовом и общем стаже; составе семьи; паспортных данных; воинском учете; заработной плате работника; социальных льготах; специальности; занимаемой должности; наличии судимостей; адресе места жительства, домашнем и мобильном телефоне; месте работы или учебы членов семьи и родственников; содержании трудового договора; подлинниках и копиях приказов по личному составу; личных делах и трудовых книжках сотрудников; материалах по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям и иных документах, содержащих персональные данные работников.

Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных работника, или их утраты я несу ответственность в соответствии со ст. 90 ТК РФ.

С Положением о персональных данных ООО "Дэмпико" и гарантиях их защиты ознакомлен(а).

  специалист по кадрам                             Елена Семеновна Даль

-----------------------                           -----------------------

      (должность)                                         (Ф.И.О.)

   4 февраля 2015 г.                                        Даль

----------------------                            -----------------------

        (дата)                                            (подпись)

Шаг 5. Организация хранения персональных данных

Порядок хранения персональных данных устанавливается работодателем (ст. 87 ТК РФ). Главное условие - организовать хранение документов таким образом, чтобы они были защищены от незаконного использования.

На практике для хранения используются сейфы, металлические и деревянные запираемые шкафы, специально оборудованные помещения. Организация может выбрать любую приемлемую форму хранения. Ограничение доступа возможно благодаря наличию замков на шкафах, в помещениях, передаче ключей строго определенным работникам, ответственным за хранение персональных данных. Порядок хранения документов закрепляется в Положении о защите персональных данных.

Что касается данных в электронном виде, необходимо полностью исключить возможность того, чтобы персональные данные мог увидеть и тем более скопировать кто-то, кроме ответственного лица (лиц). Поэтому рабочие места в помещении, где стоит система, надо разместить так, чтобы из окна или двери нельзя было увидеть информацию на мониторах сотрудников и в документах, с которыми они работают.

Шаг 6. Организация программной защиты персональных данных, содержащихся в базах данных

Большинство организаций наряду с бумажными носителями использует электронные системы. Работодатель должен обеспечить их защиту в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 N 1119 (далее - Требования). Документ выделяет три типа угроз, создающих опасность несанкционированного доступа, которые работодатель определяет самостоятельно (п. 7 Требований).

Исходя из типа угрозы следует применять один из четырех уровней защиты персональных данных (п. 8-16 Требований). Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных для каждого уровня защиты определены приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 N 21. Например, для каждого сотрудника, работающего с персональными данными, надо завести отдельную учетную запись для входа в компьютер. Чтобы начать работу, он должен ввести свои имя и пароль (причем этот пароль не должен быть виден на экране) либо приложить электронный ключ. Компьютеры следует настроить так, чтобы после нескольких неправильных попыток ввода пароля учетная запись пользователя блокировалась. Если пользователь бездействует на протяжении нескольких минут, вход в систему закрывается.

Шаг 7. Получение согласия работника на обработку персональных данных

Обработка персональных данных осуществляется с согласия работника. В случае возникновения спора доказать получение такого согласия должен работодатель (ч. 3 ст. 9 Закона N 152-ФЗ). Поэтому целесообразно оформить его в письменном виде.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона). Например, письменное согласие работника на обработку его персональных данных требуется:

- при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ);

- при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях (абз. 2 ст. 88 ТК РФ);

- для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона N 152-ФЗ).

К сведению. Работодатель с согласия работника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и пр.) другому лицу (ч. 3 ст. 6 Закона N 152-ФЗ, абз. 2 п. 5 Разъяснений Роскомнадзора). Отметим, что ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона N 152-ФЗ).

Согласие работника на обработку персональных данных должно включать (ч. 4 ст. 9 Закона N 152-ФЗ):

1) фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;

2) при получении согласия от представителя работника - его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;

3) наименование или фамилию, имя, отчество и адрес работодателя;

4) цель обработки персональных данных;

5) перечень персональных данных, которые подлежат обработке;

6) фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;

7) перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;

8) срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;

9) подпись работника.

Приведем образец согласия на обработку персональных данных соискателя (Пример 5).

Пример 5. Согласие на обработку персональных данных

Согласие на обработку персональных данных

Я, Хомиченко Валентина Александровна, паспорт серии 87 97 номер 861321, выдан УВД г. Ухты Республики Коми, зарегистрированная по адресу: г. Москва, Ярославское шоссе, д. 32, кв. 57, даю согласие ООО "Дэмпико" (расположенному по адресу ул. Писцовая, д. 12, стр. 1) на обработку, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, в том числе передачу, обезличивание, блокирование, уничтожение моих персональных данных (в том числе фамилии, имени, отчества, даты и места рождения, адреса, семейного положения, образования, профессии, доходов, данных о частной жизни, другой информации) в период выполнения работы по трудовому договору с целью осуществления трудовых отношений.

Также я даю согласие на:

- включение в общедоступные источники персональных данных следующих персональных данных: фамилии, имени, отчества, даты рождения;

- получение моих персональных данных о предыдущих местах работы и периодах трудовой деятельности от третьих лиц с целью сбора информации о моем трудовом опыте;

- передачу моих персональных данных проверяющим органам при их запросе с целью осуществления правоохранительных функций;

- передачу моих персональных данных кредитным организациям при их запросе с целью сбора информации для выдачи мне кредита.

Настоящее согласие действует в течение всего срока рассмотрения моей кандидатуры, а в случае заключения трудового договора - на срок действия трудового договора и может быть отозвано мною в письменном виде.

5 февраля 2015 г.                                       Хомиченко

Также необходимо упомянуть, что по общему правилу оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. Обязанность снимается, если обработка данных происходит в соответствии с трудовым законодательством (ч. 1 и 2 ст. 22 Закона N 152-ФЗ). Поэтому если оператор обрабатывает персональные данные только в рамках трудовых отношений, то сообщать о такой обработке он не обязан.

Передача персональных данных

Согласно ст. 88 ТК РФ работодатель должен соблюдать в том числе следующие требования: не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или другими федеральными законами. Согласно ст. 7 Закона N 152-ФЗ операторы обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Обязанность работодателя обеспечивать защиту персональных данных работника подтверждается и судебной практикой. Причем третьими лицами по отношению к работникам признаются даже акционеры компаний и не рассматриваются как лица, которым работодатель обязан предоставлять персональные данные работников.

Судебная практика. Суд указал, что работодатель правомерно не представил акционерам общества копию трудового договора с генеральным директором, поскольку ст. 88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне, а в соответствии со ст. 90 ТК РФ лица, виновные в нарушении норм, регулирующих защиту персональных данных, несут административную, гражданско-правовую или уголовную ответственность (постановление ФАС Московского округа от 14.01.2010 N КА-А40/14463-09 по делу N А40-38438/09-17-269).

Как указано выше, законодательство допускает передачу персональных данных работника третьей стороне без письменного согласия работника в случаях, установленных федеральными законами. Но иногда работодателям не совсем ясно, в каких ситуациях можно допускать такую передачу. На помощь приходит судебная практика.

Судебная практика. Профсоюз обратился в суд с иском к организации о признании незаконным отказа в предоставлении информации о привлечении работников предприятия к работе сверхурочно и в выходные дни. Отказывая в предоставлении запрошенной информации, работодатель сослался на то, что действующее законодательство ограничивает работодателя в возможности передачи персональных данных работника третьим лицам, в том числе и представителям работников.

При отмене решений судов нижестоящих инстанций, отказавших профсоюзу в иске, Верховный Суд подчеркнул, что в соответствии с требованиями п. 1 ч. 2 ст. 6 Закона N 152-ФЗ согласие субъекта персональных данных не требуется, если их обработка осуществляется на основании федерального закона, который устанавливает цель, условия получения указанной информации, круг субъектов, персональные данные которых подлежат обработке, а также оператора, каковым выступает первичная профсоюзная организация. Сведения о заработной плате, времени труда и отдыха относятся к вопросам, регулируемым коллективным договором, что в свою очередь отнесено к функциям профсоюзов, направленным на осуществление контроля за соблюдением трудового законодательства, коллективных договоров и соглашений (определение Верховного Суда РФ от 20.07.2012 N 56-КГ12-3).

Также необходимо отметить, что судебная практика признает незаконным распространение персональных данных, если они пересылаются по незащищенным каналам, т.е. с использованием общедоступной электронной почты.

Судебная практика. Менеджер по кадровому делопроизводству была уволена по подп. "в" п. 6 ч. 1 ст. 81 ТК РФ. В ходе планового аудита служебной электронной почты работников компании, обрабатывающих персональные данные, было обнаружено, что она периодически отправляла письма, содержащие персональные данные работников компании, на почтовый ящик mail.ru. Таким образом, информация была размещена на сервере mail.ru.

Суд отказал истице в восстановлении на работе. Он отметил, что процедура оказания услуг электронной почты компанией ООО "Мэйл.Ру" регламентируется пользовательским соглашением, текст которого размещен на сайте www.mail.ru. В соответствии с его условиями ООО "Мэйл.Ру" может как ограничивать, так и разрешать доступ к информации, содержащейся в электронных почтовых ящиках. Следовательно, в силу ст. 2 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации" названная компания является обладателем информации. Суд пришел к выводу о том, что размещенная в результате неправомерных действий истицы информация, содержащая персональные данные работников компании, стала доступна третьему лицу - ООО "Мэйл.Ру" (определение Московского областного суда от 16.09.2010 по делу N 33-18051).

Кстати, практика применения Закона N 152-ФЗ рассматривает разнообразные дела по передаче персональных данных. В каждой ситуации суды тщательно анализируют фактические данные для определения законности этого факта. Например, частым случаем передачи персональных данных является сообщение информации сотрудникам охраны, реализующим пропускной режим (на пропускном пункте), в частности, являющихся сотрудниками иной организации, например, при аренде офиса. Вот какое решение вынес суд, рассматривая конкретное дело по данной теме.

Судебная практика. Работница обратилась в суд с иском к организации и просила взыскать с ответчика в свою пользу компенсацию морального вреда, т.к. на проходном пункте (будке охраны) бизнес-центра, на территории которого находится офис организации, было размещено письмо с ее фотографией, фамилией, именем и отчеством, местом работы и указаниями не пропускать ее на территорию, которое было подписано офис-менеджером организации. Как пояснила работница, данное письмо было размещено в общедоступном месте для обозрения неограниченным числом лиц, что нарушает ее права на защиту персональных данных.

Отказывая в иске работнице, суд указал, что в некоторых случаях (п. 5 и 7 ч. 1 ст. 6 Закона N 152-ФЗ) обработка персональных данных допускается для исполнения договора, осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных. Указанные нормы права содержат основания для обработки персональных данных без применения общих норм о получении согласия субъекта персональных данных (апелляционное определение Московского городского суда от 26.02.2014 N 33-4346/2014).

Ответственность за нарушение законодательства о персональных данных

Наказание для работодателя

Ответственность работодателя за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрена ст. 13.11 КоАП РФ. Должностное лицо может быть оштрафовано на 500-1000 руб., а организация - на 5000-10 000 руб.

Кроме административной ответственности, если будет доказан факт незаконной передачи персональных данных, суд может взыскать с работодателя сумму за нанесение морального вреда в пользу работника. Так, в результате незаконного распространения такой информации сотруднику может быть причинен моральный вред, который работодатель должен возместить (см. ст. 90 и 237 ТК РФ).

Более того, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие ему другие нематериальные блага, а также в иных случаях, предусмотренных законом (таких, как конфиденциальность персональных данных), суд может возложить на нарушителя обязанность денежной компенсации указанного вреда (ст. 151 Гражданского кодекса РФ, далее - ГК РФ). Это подтверждается и судебной практикой.

Судебная практика. Работник просил признать незаконными действия организации по разглашению персональных данных, а именно - размещение на сайте статьи с приложением текста дополнительного соглашения к трудовому договору данного работника. Свои требования он подтвердил протоколом осмотра доказательств (сайта), составленного нотариусом. Суд удовлетворил требования истца, указав, что в результате нарушения работодателем норм защиты персональных данных работника для последнего наступили негативные последствия: условия трудового договора стали предметом обсуждения неограниченного числа пользователей всемирной сети Интернет (апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 по делу N 33-4172/13).

Наказание для сотрудника, работающего с персональными данными

Исходя из смысла ст. 90 ТК РФ сотрудник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных работников, может быть привлечен к дисциплинарной, материальной, а также к гражданско-правовой, административной и уголовной ответственности.

Административная ответственность

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа (от 4000 до 5000 руб. на должностное лицо согласно ст. 13.14 КоАП РФ).

Дисциплинарная ответственность

Неправомерное разглашение информации о персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). В частности, трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной ему в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных другого работника (подп. "в" п. 6 ч. 1 ст. 81 ТК РФ). Поскольку такое увольнение относится к увольнениям за нарушение трудовой дисциплины, лицо, разгласившее персональные данные, необходимо уволить с соблюдением процедуры, предусмотренной ст. 193 ТК РФ.

Материальная ответственность

Не забываем и о материальной ответственности за виновное нарушение норм, регулирующих обработку и защиту персональных данных работников (ст. 90 ТК РФ). Напомним, что в результате незаконного распространения информации работнику, чьи данные были разглашены, может быть причинен моральный вред, подлежащий возмещению работодателем. Однако в соответствии со ст. 238 ТК РФ сотрудник обязан возместить работодателю причиненный последнему прямой действительный ущерб.

Следовательно, если вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнее к материальной ответственности за ущерб, который был нанесен такими действиями. В соответствии с п. 7 ч. 1 ст. 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на ответственное лицо в случае разглашения сведений, составляющих охраняемую законом тайну.

Уголовная ответственность

Ну и, наконец, наиболее серьезный вид наказания - уголовная ответственность. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ, согласно ст. 137 Уголовного кодекса РФ будет наказано:

- штрафом (до 200 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период до 18 месяцев),

- либо обязательными работами на срок до 360 часов,

- либо исправительными работами на срок до года,

- либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового,

- либо арестом на срок до четырех месяцев,

- либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Если же аналогичные действия будут совершены лицом с использованием своего служебного положения, то наказание будет серьезнее. Сумма максимального штрафа может составить 300 тыс. руб., работник может быть лишен права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет, либо он может быть привлечен к принудительными работами на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового, либо работник может быть арестован на срок до 6 месяцев, либо лишен свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.

В следующем номере читайте о работе с персональными данными клиентов.

Ю. Жижерина,

директор по персоналу группы компаний

"Управления строительством - 620"

"Кадровая служба и управление персоналом предприятия", N 2, февраль 2015 г.

-------------------------------------------------------------------------

*(1) В п. 3 ст. 3 Закона N 152-ФЗ указано, что обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

*(2) Название локального нормативного акта может быть любым. Например, Положение о защите персональных данных, Положение о порядке обработки персональных данных и пр.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.