Что работодателю необходимо знать о персональных данных работников? (Е.В. Давыдова, "Отдел кадров коммерческой организации", N 3, март 2015 г.)

Что работодателю необходимо знать о персональных данных работников?

Уже давно у работодателей не возникает сомнений, что они не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение, поскольку недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована Конституцией РФ. Ранее в ст. 85 ТК РФ давалось определение персональных данных - под ними понималась информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Однако эта статья была отменена и сейчас под персональными данными работника следует понимать любые данные работника как физического лица. Напомним работодателям, какие обязанности установлены для них по обработке, хранению и защите персональных данных работников и какая ответственность может наступить за невыполнение этих обязанностей.

Персональные данные работника и документы, их содержащие

Основным нормативным актом, регламентирующим отношения, связанные с обработкой персональных данных юридическими и физическими лицами, является Федеральный закон от 27.06.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ). Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.

Защите персональных данных работника посвящена и гл. 14 ТК РФ, которой установлены общие требования к обработке этих данных и гарантии их защиты, порядок передачи данных работника третьим лицам и права работников на защиту их персональных данных, хранящихся у работодателя.

Определение персональных данных есть в ст. 3 Закона N 152-ФЗ - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

К сведению. Законом N 152-ФЗ установлены разновидности персональных данных - специальные категории сведений о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни и биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность) (ст. 10, 11).

Поскольку ни Трудовым кодексом, ни Законом N 152-ФЗ не установлено, какие конкретно данные относятся к персональным, в качестве примерного можно использовать перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста РФ от 21.03.2013 N 36*(1). Перечислим основные персональные данные, включенные в этот перечень, кроме тех, что имеют непосредственное отношение к государственной службе (сведения о доходах, о пребывании за границей и т.д.):

- фамилия, имя, отчество, дата и место рождения;

- образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);

- послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов);

- выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.);

- адрес регистрации и фактического проживания;

- паспорт (серия, номер, кем и когда выдан);

- номер телефона;

- отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);

- идентификационный номер налогоплательщика;

- номер страхового свидетельства обязательного пенсионного страхования;

- наличие (отсутствие) судимости;

- наличие (отсутствие) заболевания, препятствующего приему на определенную должность подтвержденное заключением медицинского учреждения;

- результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования.

Что касается документов, содержащих персональные данные, к ним, в первую очередь, относятся паспорт или другой документ, удостоверяющий личность, анкеты, заполняемые при трудоустройстве, трудовая книжка, личная карточка работника по форме Т-2, документы воинского учета, обязательного пенсионного страхования, документы об образовании, о составе семьи, трудовой договор, справка о доходах с предыдущего места работы, медицинские заключения, свидетельства о заключении брака, рождении ребенка. У работодателя хранятся копии этих документов, за исключением анкет, трудовых книжек и личных карточек.

Все документы, содержащие персональные данные работников, подлежат хранению и защите работодателем в соответствии с требованиями законодательства.

К сведению. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (справочники, адресные книги). В них с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные сообщаемые им данные. При этом сведения о субъекте персональных данных должны быть исключены по его требованию либо по решению суда или иных уполномоченных государственных органов (ст. 8 Закона N 152-ФЗ).

Обработка данных работника

Любое действие, совершаемое работодателем с персональными данными работников с использованием средств автоматизации или без использования таковых, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение, называется одним словом - обработка (ст. 3 Закона N 152-ФЗ).

Обработка персональных данных осуществляется с согласия работника, и получить такое согласие нужно, не откладывая "в долгий ящик", - при приеме на работу. Согласно ст. 9 Закона N 152-ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Оно может быть дано работником (его представителем) в любой позволяющей подтвердить факт его получения форме (письменной, в форме электронного документа, подписанного в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи" электронной подписью), если иное не установлено федеральным законом. Случаи, когда согласие может оформляться в форме электронного документа, должны быть установлены федеральными законами, но пока таких нормативных актов нет.

Примечание. Согласие на обработку персональных данных может быть отозвано их субъектом. Однако в случаях, установленных Законом N 152-ФЗ, обработка может осуществляться и без согласия работника.

Письменное согласие субъекта персональных данных на их обработку должно включать в себя, в частности:

- ФИО и адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- ФИО и адрес представителя, реквизиты документа, удостоверяющего его личность, и доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

- наименование или фамилию, имя, отчество и адрес работодателя (индивидуального предпринимателя);

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие их субъекта;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом;

- подпись работника.

В статье 86 ТК РФ перечислены общие требования к обработке работодателем персональных данных. Так, установлено, что обработка должна осуществляться в целях обеспечения соблюдения законодательства, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Примечание. Не допускается запрашивать у работника информацию о его состоянии здоровья, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Объем и содержание обрабатываемых данных определяется в соответствии с Конституцией РФ, Трудовым кодексом и иными федеральными законами. При этом работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных, а также данные о членстве работника в общественных объединениях или о его профсоюзной деятельности - за исключением случаев, предусмотренных законодательством.

Все персональные данные следует получать от самого работника. Если же их можно получить только у третьей стороны, то работника нужно уведомить об этом заранее и получить от него письменное согласие. Кроме того, работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника согласиться на их получение.

Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения, если принимает на их основе решения, затрагивающие интересы работника.

Порядок обработки персональных данных, а также права и обязанности работников в этой области работодатель устанавливает в локальном акте, с которым работники должны быть ознакомлены под роспись.

К сведению. Меры по обеспечению безопасности персональных данных при их обработке установлены ст. 19 Закона N 152-ФЗ. Требования к защите этих данных при их обработке в информационных системах установлены Постановлением Правительства РФ от 01.11.2012 N 1119, а Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

Хранение и использование персональных данных

Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов.

При разработке локального акта, определяющего порядок обработки персональных данных, в том числе их хранения и использования, также можно руководствоваться упомянутым выше Постановлением N 687. В нем, например, говорится, что обработка персональных данных без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории данных можно было определить места их хранения (материальных носителей с ними) и установить перечень лиц, осуществляющих обработку данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются работодателем.

Особое внимание уделяется хранению документов, содержащих персональные данные, - трудовых книжек, личных дел сотрудников и личных карточек. Трудовые книжки и личные дела рекомендуется хранить в несгораемых шкафах, запирающихся на ключ и имеющих приспособление для опечатывания, или в сейфах. Доступ к ним должен иметь только кадровый работник или иное уполномоченное лицо.

Поскольку в процессе трудовой деятельности возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам, должен вестись их строгий учет. Для этого работодателю рекомендуется применять журналы учета, в которых указываются даты выдачи и возврата документов, наименование документа, срок пользования, цель выдачи, ФИО и должность лица, получившего документ с персональными данными работника.

Обратите внимание! Персональные данные работника сообщаются в коммерческих целях или третьей стороне только с его письменного согласия - за исключением случаев, когда это необходимо в целях предупреждения угрозы его жизни и здоровью, а также случаев, предусмотренных Трудовым кодексом или иными федеральными законами (ст. 87 ТК РФ).

В силу ст. 87 ТК РФ, если персональные данные работника были переданы третьим лицам, работодатель вправе требовать от этих лиц подтверждения, что полученные данные будут использованы только в целях, для которых они были получены.

Если данные передаются в пределах одной организации, у одного индивидуального предпринимателя, порядок такой передачи должен быть установлен локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами, при этом они имеют право получать лишь те данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных

В силу ст. 86 ТК РФ меры по защите вырабатываются совместно работниками и их представителями и работодателем. При этом работодатель за счет собственных средств обеспечивает защиту персональных данных от их неправомерного использования или утраты. В свою очередь, работники имеют определенные права в целях обеспечения защиты персональных данных, хранящихся у работодателя, установленные ст. 89 ТК РФ, в частности:

- на полную информацию об их персональных данных и обработке этих данных;

- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, их содержащей, за исключением случаев, предусмотренных федеральным законом (ограничения в доступе установлены ч. 8 ст. 14 Закона N 152-ФЗ);

- на определение своих представителей для защиты своих персональных данных;

- на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;

- на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия;

- на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите этих данных.

В целях защиты персональных данных со стороны работодателя он должен, в первую очередь, обеспечить их хранение. При этом для документов, содержащих эти данные, должны быть использованы технические средства охраны, а для данных, хранящихся в информационных системах, - программные средства защиты информации. Кроме этого, следует ограничить круг работников, имеющих доступ к такой информации. Перечень таких лиц желательно установить локальным актом и оформить с ними обязательство о неразглашении персональных данных. Работодателю также следует создавать необходимые условия для работы с персональными данными (выделять отдельные помещения, обновлять программные средства защиты информации и т.д.).

Обратите внимание! Работник, имеющий доступ к персональным данным, может быть уволен за разглашение данных другого работника по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ, если получил эти данные в процессе исполнения трудовых обязанностей (п. 43 Постановления Пленума ВС РФ от 17.03.2004 N 2).

Ответственность за нарушение законодательства о персональных данных

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работника, в силу ст. 90 ТК РФ могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности.

Одним из видов дисциплинарной ответственности, как уже было отмечено, является увольнение работника, разгласившего персональные данные другого работника, по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ.

Материальная и гражданско-правовая ответственность заключается в возмещении субъекту персональных данных имущественного и морального вреда.

При этом, как говорится в ст. 24 Закона N 152-ФЗ, моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки данных, а также требований к их защите, подлежит возмещению в соответствии с законодательством РФ независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Должностные лица, в том числе отвечающие за обработку персональных данных, и сама организация могут быть привлечены к административной ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ) и за разглашение информации с ограниченным доступом (ст. 13.14 КоАП РФ).

Кроме этого, должностное лицо организации может быть привлечено к ответственности за неправомерный отказ в предоставлении информации гражданину и (или) организации, за ее несвоевременное предоставление либо предоставление заведомо недостоверной информации (ст. 5.39 КоАП РФ). При этом за аналогичное правонарушение предусмотрена и уголовная ответственность по ст. 140 УК РФ.

Уголовная ответственность также установлена ст. 137 УК РФ за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия и ст. 272 УК РФ за неправомерный доступ к компьютерной информации.

Говоря об административной ответственности, следует отметить, что в настоящее время штрафы за нарушение законодательства РФ о персональных данных, прямо скажем, небольшие. Размер штрафа, налагаемого на должностное лицо, например, по ст. 13.11 КоАП РФ, составляет от 500 до 1 000 руб., а на юридическое лицо от 5 000 до 10 000 руб. Однако на момент подготовки нашего материала на рассмотрении в Государственной Думе находится законопроект, устанавливающий новую редакцию ст. 13.11.

Предлагается выделить несколько составов административных правонарушений в этой сфере и увеличить размер штрафов, налагаемых за нарушение законодательства о персональных данных.

В частности, проведение обработки таких данных с нарушением требований законодательства к составу сведений, включаемых в письменное согласие на обработку персональных данных, предусматривает штраф для должностных лиц до 8 000 руб., для индивидуальных предпринимателей до 25 000 руб., а для юридических лиц до 50 000 руб.

А ответственность за такой состав правонарушения, как проведение обработки персональных данных без согласия их субъекта (субъектов) и в отсутствие иных условий, установленных законодательством, предполагает для должностных лиц штраф в размере до 15 000 руб., для индивидуальных предпринимателей до 35 000 руб., для юридических лиц до 50 000 руб.

* * *

В заключение еще раз обращаем внимание, что работодателю не стоит пренебрегать обязанностями, установленными для него в сфере обработки и защиты персональных данных. Причем во многих организациях это касается данных не только их сотрудников, но и иных лиц (клиентов, посетителей и т.д.), поскольку за разглашение персональных данных, полученных от кого угодно, виновные могут стать участниками судебных процессов и оказаться привлеченными к любому из установленных законодательством видов ответственности.

Е.В. Давыдова,

эксперт журнала

"Отдел кадров коммерческой организации"

"Отдел кадров коммерческой организации", N 3, март 2015 г.

------------------------------------------------------------------------

*(1) "Об утверждении перечня персональных данных, обрабатываемых в Министерстве юстиции Российской Федерации в связи с реализацией трудовых отношений, а также типовой формы согласия на обработку персональных данных федеральных государственных гражданских служащих Министерства юстиции Российской Федерации и иных субъектов персональных данных".