О работе с персональными данными работников (Т.М. Медведева, "Актуальные вопросы бухгалтерского учета и налогообложения", N 21, ноябрь 2014 г.)

О работе с персональными данными работников

Закон о персональных данных*(1) и гл. 14 Трудового кодекса регламентируют правила обработки персональных данных работников и гарантии их защиты. Между тем многие организации (особенно небольшие), к сожалению, не уделяют должного внимания соблюдению этих правил. Подобная небрежность зачастую оборачивается штрафными санкциями, размер которых (в совокупности) может быть весьма внушительным. Причем к ответственности могут привлечь не только организацию, но и ее сотрудников, ответственных за обработку и хранение персональных данных работников. О том, кем и при каких обстоятельствах организация может быть оштрафована и как ей этого избежать, поговорим в рамках настоящей статьи.

Персональные данные - какие они?

Статьей 3 Закона о персональных данных определено, что под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Разглашение таких данных оператором третьим лицам без согласия субъекта персональных данных (работника) - запрещено. Это следует из ст. 7 названного закона.

Под оператором персональных данных законодатель подразумевает государственный либо муниципальный орган, юридическое или физическое лицо, которые организуют или осуществляют обработку персональных данных, заключающуюся в их сборе, записи, систематизации, накоплении, хранении, уточнении, извлечении, использовании, передаче, обезличивании, блокировании, удалении и уничтожении (ч. 2 ст. 3 Закона о персональных данных).

Под обработкой персональных данных понимается любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ч. 3 ст. 3 Закона о персональных данных). Основные принципы обработки персональных данных определены ст. 5 данного закона.

Итак, любая организация становится оператором персональных данных работника после получения их в свое распоряжение. С этого момента она обязана обеспечить их защиту в соответствии с требованиями Закона о персональных данных.

Какая именно информация относится к разряду персональных данных? Конкретного перечня таких сведений положениями Закона о персональных данных и Трудовым кодексом не установлено. К персональным данным по праву можно отнести ту информацию, на основании которой возможна безошибочная идентификация субъекта персональных данных. И если речь идет о субъекте - работнике организации, то к категории персональных данных, очевидно, следует отнести информацию:

- о фамилии, имени, отчестве;

- о дате и месте рождения;

- об адресе (месте регистрации);

- о семейном, социальном, имущественном положении;

- об образовании, профессии;

- о доходах, имуществе и имущественных обязательствах;

- иную аналогичную информацию.

Словом, это все те сведения, которые сотрудник сообщает сам о себе при приеме на работу и которые впоследствии используются организацией при оформлении кадровой документации и подготовке различных отчетов, направляемых, в частности, во внебюджетные фонды, в налоговую инспекцию, органы статистики и т.д. Именно такое определение понятия "персональные данные работника" содержалось в ст. 85 ТК РФ, утратившей ныне силу. Помимо этого, персональные сведения о работнике могут быть получены у третьей стороны, но с письменного согласия самого работника (ч. 3 ст. 86 ТК РФ).

Кто вправе осуществить проверку?

Ведомством, которое уполномочено контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (или Роскомнадзор) (ч. 1 ст. 23 Закона о персональных данных, п. 5.1.1.4 Положения*(2)).

Роскомнадзор согласно ч. 3 ст. 23 Закона о персональных данных в рамках контрольно-надзорной деятельности вправе, в частности:

- запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

- осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий. Административные процедуры проведения проверок определены Административным регламентом *(3);

- требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

- принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований рассматриваемого закона;

- обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;

- направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с их подведомственностью;

- привлекать к административной ответственности лиц, виновных в нарушении Закона о персональных данных.

Обращаем внимание: несмотря на то, что ч. 3 ст. 23 Закона о персональных данных предусмотрено право Роскомнадзора на привлечение к административной ответственности виновных лиц, в силу п. 58 ч. 2 ст. 28.3 КоАП РФ Роскомнадзор не наделен полномочиями по составлению протоколов об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ. В силу ч. 1 ст. 28.4 КоАП РФ такими полномочиями наделена прокуратура. То есть все материалы по тем проверкам, по которым обнаружены нарушения, Роскомнадзор должен передавать в прокуратуру. Вопрос же о наложении штрафов решается судьей (ч. 1 ст. 23.1 КоАП РФ).

Поскольку положениями гл. 14 ТК РФ, наравне с Законом о персональных данных, определены требования к обработке персональных данных работников и гарантии их защиты, контроль за соблюдением работодателем трудового законодательства, в том числе в части обработки персональных данных, вправе осуществить и инспекция по труду (Роструд). Это следует из ст. 353 ТК РФ.

Итак, предмет контроля (надзора) за организацией в части соблюдения ею требований законодательства о персональных данных со стороны Роскомнадзора и Роструда совпадает. Последний свою контрольно-надзорную функцию реализует также посредством проверок, обследований и подготовки материалов о привлечении виновных лиц к ответственности. Заметим, в соответствии с пп. 16 ч. 2 ст. 28.3 КоАП РФ ревизоры Роструда вправе в пределах своих полномочий составлять протоколы об административных правонарушениях, в том числе предусмотренных ч. 2 ст. 5.27 КоАП РФ.

Какая ответственность...

...у организации

На первый взгляд, штрафы за нарушение организацией правил работы с персональными данными, установленные ст. 13.11 КоАП РФ, не столь высоки: штраф составит от 5 до 10 тыс. руб. Между тем указанный штраф налагается за каждое допущенное нарушение, поэтому изначально заявленные 5-10 тыс. руб. с легкостью могут превратиться для организации в более весомую сумму.

Руководитель организации также может быть оштрафован, размер санкции - от 500 до 1 000 руб. (ст. 13.11 КоАП РФ).

Кроме того, за невыполнение предписания Роскомнадзора об устранении нарушений законодательства о персональных данных на основании ст. 19.5 КоАП РФ возможен штраф до 20 тыс. руб.

Оставление без ответа запроса этого органа касательно персональных данных грозит штрафом от 3 до 5 тыс. руб. (ст. 19.7 КоАП РФ).

И еще. Если в организации не утверждено положение о персональных данных (к этому вопросу мы вернемся чуть позже), нарушены правила хранения трудовых книжек*(4) и личных карточек работников (форма Т-2 *(5)) (заметим, и трудовые книжки, и личные карточки являются носителями персональных данных), то организация может быть привлечена к административной ответственности за нарушение трудового законодательства по ст. 5.27 КоАП РФ. Размер штрафа - от 30 до 50 тыс. руб. Возможно также административное приостановление деятельности организации на срок до 90 суток.

Обратите внимание! С 1 января 2015 года штраф за повторное нарушение, предусмотренное ст. 5.27 КоАП РФ, составит уже от 50 до 70 тыс. руб. Изменения внесены Федеральным законом от 28.12.2013 N 421-ФЗ.

...у должностного лица, работающего с персональными данными

В соответствии со ст. 90 ТК РФ сотрудник, виновный в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работников организации, может быть привлечен к следующим видам ответственности:

- дисциплинарной. Она установлена пп. "в" п. 6 ч. 1 ст. 81 ТК РФ: трудовой договор с работником по инициативе работодателя может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной в связи с исполнением трудовых обязанностей (в том числе разглашения персональных данных другого работника);

- материальной. В случае незаконного распространения информации о персональных данных работнику организации может быть причинен моральный вред. Работник может потребовать его возмещения от работодателя (см., например, Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 N 33-4172/13). Если вред был причинен по вине должностного лица, ответственного за неразглашение данных, то работодатель впоследствии может привлечь виновного к материальной ответственности за нанесенный ущерб (ст. 238, 248 ТК РФ);

- гражданско-правовой. Если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных, работнику причинен моральный вред, то он подлежит возмещению в денежной форме в соответствии с гражданским законодательством (ст. 151 ГК РФ);

- административной. За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о персональных данных - штраф от 500 до 1 000 руб. (ст. 13.11 КоАП РФ), за разглашение персональных данных - штраф от 4 до 5 тыс. руб. (ст. 13.14 КоАП РФ), за отказ в предоставлении информации по запросу - штраф от 1 до 3 тыс. руб. (ст. 5.39 КоАП РФ);

- уголовной. Она предусмотрена положениями ст. 137 "Нарушение неприкосновенности частной жизни", ст. 140 "Отказ в предоставлении гражданину информации", ст. 272 "Неправомерный доступ к компьютерной информации" УК РФ.

Согласие работника на обработку и передачу персональных данных

Принимая решение о предоставлении своих данных, работник, по сути, одновременно дает и согласие на их обработку. Это следует из ч. 1 ст. 9 Закона о персональных данных. При этом в той же норме отмечено, что согласие должно быть конкретным, информированным и сознательным и дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом. Казалось бы, что в данном случае может быть лучше согласия работника, полученного в письменной форме? Подчеркнем, в произвольной форме, поскольку действующим законодательством форма такого документа не установлена.

Вместе с тем при оформлении подобного документа работодателю необходимо обратить внимание на Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по вопросам, касающимся обработки персональных данных работников (далее - Разъяснения)*(6). Из них следует, что обработка персональных данных работника не требует получения соответствующего согласия указанного лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством.

Словом, работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка (обычно являющимися приложением к коллективному договору), соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ.

Кроме того, согласие на обработку персональных данных не требуется, если они получены:

- из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК РФ;

- по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений);

- из личной карточки или в иных случаях, установленных законодательством РФ (например, при получении алиментов, оформлении допуска к государственной тайне, оформлении социальных выплат) (п. 2 Разъяснений);

- от кадрового агентства, действующего от имени соискателя на вакантную должность (абз. 12 п. 5 Разъяснений);

- из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Закона о персональных данных, абз. 12 п. 5 Разъяснений).

Если персональные данные о работнике могут быть получены только у третьей стороны (ранее упоминалось, что такая возможность предусмотрена ч. 3 ст. 86 ТК РФ), то работник должен быть заранее уведомлен об этом и от него должно быть получено письменное согласие. Формы подобного уведомления и согласия работника на их получение - произвольные.

Что касается передачи персональных данных третьим лицам, в том числе в коммерческих целях, то осуществить ее работодатель вправе только с предварительного письменного согласия работника. Это следует из абз. 2, 3 ч. 1 ст. 88 ТК РФ.

Перед передачей персональных данных работодатель должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).

Иными словами, для передачи персональных данных также необходимо письменное согласие работника, составленное в свободной форме. Из него (как впрочем, и из упомянутых ранее согласий и уведомлений) должно быть понятно, какие именно операции с персональными данными совершаются и с какой целью.

Не требуется согласие работника на передачу персональных данных в том числе:

- третьим лицам в целях предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений);

- в ФСС, ПФР в объеме, предусмотренном законом (абз. 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений);

- в налоговые органы (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений);

- в военные комиссариаты (абз. 5 п. 4 Разъяснений);

- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем (абз. 5 ч. 6 ст. 370 ТК РФ, абз. 5 п. 4 Разъяснений);

- по мотивированному запросу органов прокуратуры и правоохранительных органов (абз. 7 п. 4 Разъяснений);

- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений);

- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом (абз. 5 ст. 228 ТК РФ).

Принимая во внимание сказанное, можно сделать вывод о том, что членам семьи, страховым компаниям, кредитным учреждениям, благотворительным организациям, негосударственным пенсионным фондам и иным аналогичным организациям персональные данные работника предоставляются только при наличии его письменного согласия. Предоставление таких данных в отсутствие согласия работника является нарушением и, как следствие, основанием для привлечения самой организации, ее должностных лиц к ответственности.

Итак, в целях соблюдения требований законодательства работодателю нужно получить письменное согласие работника (заметим, не одно) на совершение операций (действий) с его персональными данными. Вместе с тем важно понимать, что требование о получении подобного согласия не является безусловным, поскольку действующим законодательством определен ряд случаев, когда это не обязательно.

Положение о персональных данных

Часть 8 ст. 86 ТК РФ гласит о том, что работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Из приведенной нормы, а также из ст. 87 ТК РФ, согласно которой порядок хранения и использования персональных данных работников устанавливается работодателем, следует, что у любого работодателя должен быть локальный нормативный акт, регулирующий данные вопросы. Другими словами, работодатель обязан разработать и утвердить положение о персональных данных.

В указанном документе следует прописать все требования, установленные законом в части получения, обработки, хранения, комбинирования, передачи и любого другого (подчеркнем, законного) использования персональных данных работников, а также гарантии по их защите. В частности, необходимо отразить, кто и в каком порядке имеет доступ к полученным сведениям, меры, направленные на их сохранение и неразглашение, а также порядок их передачи внутри организации, государственным органам и третьим лицам.

Но прежде в положении о персональных данных должно быть четко прописано, какие сведения и информация, используемые организацией, относятся к категории персональных. (Их примерный перечень приведен выше.) Имеет смысл также указать документы, содержащие персональные данные работников, которые организация представляет в различные государственные органы (внебюджетные фонды, налоговую, трудовую инспекции, органы статистики и т.д.).

Разумеется, этим документом следует определить круг должностных лиц, наделенных полномочиями по обработке, хранению и использованию персональных данных и, соответственно, несущих ответственность за нарушение требований законодательства. А конкретных сотрудников (физических лиц), ответственных за работу с персональными данными, уместнее назначать на основании соответствующего приказа руководителя организации (чтобы в случае увольнения сотрудника не пришлось переписывать локальный нормативный акт).

Поскольку установленные формы для подтверждения согласия работника на обработку и передачу персональных данных отсутствуют, их шаблоны также имеет смысл утвердить в положении о персональных данных или в приложении к нему.

Положение о персональных данных, как и любой другой локальный нормативный акт, утверждается на основании соответствующего приказа руководителя организации. При наличии в организации представительного органа работников положение о персональных данных должно приниматься с учетом требований ст. 372 ТК РФ.

Как следует из абз. 3 ст. 68 и ч. 8 ст. 86 ТК РФ, работники и их представители должны быть под роспись ознакомлены с положением о персональных данных. Однако как именно это сделать, упомянутыми законодательными нормами не определено. Полагаем, у работодателя в данном случае имеется как минимум два варианта реализации указанного требования законодательства. Первый - оформить журнал ознакомления работников с локальными нормативными актами, в котором они будут расписываться о том, что ознакомлены с соответствующими актами (включая положение о персональных данных). Второй - отражать этот факт в трудовом договоре.

Итак, положение о персональных данных - это главный документ, наличие которого в силу закона является обязательным. Но это не единственный документ, который необходимо оформить работодателю.

Не будут лишними...

...журнал учета персональных данных

Исходя из ст. 7 Закона о персональных данных работодатели обязаны соблюдать режим конфиденциальности персональных данных. А это значит, что в подтверждение того, что названное требование соблюдается, контролирующие органы при проверке могут потребовать от работодателя журнал учета персональных данных, в котором указано, кто, когда и с какой целью имел доступ к конфиденциальной информации.

Форма подобного журнала не установлена, следовательно, организация может разработать ее самостоятельно.

...обязательство должностного лица о неразглашении персональных данных

Как упоминалось ранее, на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты (ч. 7 ст. 86 ТК РФ). И если сотрудник, имеющий доступ к персональным данным, по каким-то причинам разгласил эти данные, то он может быть привлечен к ответственности, предусмотренной ст. 90 ТК РФ. Однако привлечь к ответственности нерадивого сотрудника можно только при наличии обязательства о неразглашении таких сведений. На это обстоятельство обращено внимание в п. 43 Постановления Пленума ВС РФ от 17.03.2004 N 2.

Иными словами, при наделении должностного лица полномочиями на доступ к персональным данным других работников (их сбор, обработку и передачу) одновременно с таким лицом нужно оформить еще и обязательство о неразглашении указанной информации (добавим, в произвольной форме).

* * *

Итак, в целях выполнения требований законодательства, предъявляемых к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также в целях соблюдения гарантий по их защите работодателю нужно оформить ряд документов, положениями которых будут урегулированы все перечисленные в статье вопросы. Их наличие у работодателя само по себе еще не гарантия успеха при осуществлении контрольных мероприятий в отношении него. Тем не менее они помогут ему минимизировать возможные претензии контролеров.

Т.М. Медведева,

эксперт журнала "Актуальные вопросы

бухгалтерского учета и налогообложения"

"Актуальные вопросы бухгалтерского учета и налогообложения", N 21, ноябрь 2014 г.

-------------------------------------------------------------------------

*(1) Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".

*(2) Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утв. Постановлением Правительства РФ от 16.03.2009 N 228.

*(3) Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утв. Приказом Минкомсвязи России от 14.11.2011 N 312.

*(4) Правила ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей, утв. Постановлением Правительства РФ от 16.04.2003 N 225.

*(5) Утверждена Постановлением Госкомстата России от 05.01.2004 N 1.

*(6) Разъяснения размещены на официальном сайте ведомства (http://www.rsoc.ru) 24.12.2012.