Что работодателю надо знать о персональных данных? (В.В. Данилова, "Отдел кадров государственного (муниципального) учреждения", N 5, май 2013 г.)

Что работодателю надо знать о персональных данных?

В каждом учреждении имеется информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, которая представляет собой персональные данные. Учреждение должно обеспечить защиту такой информации при ее обработке. В статье напомним, что относится к персональным данным работника. Также рассмотрим вопросы, касающиеся получения, обработки и передачи персональных данных.

Персональные данные относятся к частной жизни гражданина, которая является конституционным правом каждого. Кроме того, в Указе Президента РФ N 188*(1) отмечено, что персональные сведения носят конфиденциальный характер, соответственно, должны оставаться недоступными для общественности.

Защита персональных данных регулируется гл. 14 ТК РФ, а также Федеральным законом N 152-ФЗ*(2). К таким данным относится информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 ТК РФ). Однако ни трудовое законодательство, ни Федеральный закон N 152-ФЗ не уточняют, какую информацию могут содержать персональные данные и какая именно информация о работнике требуется работодателю. Из положений п. 2 ст. 86 ТК РФ следует, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.

Получение персональных данных

Работодатель имеет право затребовать только ту информацию (персональные данные), которая относится к трудовым отношениям и отражается в документах, хранящихся у работодателя. При этом ст. 65 ТК РФ определен минимальный перечень документов, предъявляемых работодателю при заключении трудового договора. Однако в отдельных случаях, установленных ТК РФ, федеральными законами, указами Президента РФ и постановлениями Правительства РФ, а также с учетом специфики работы может предусматриваться необходимость предъявления дополнительных документов.

Отметим, что работодатель не имеет права получать и обрабатывать персональные данные работника о его:

- политических, религиозных и иных убеждениях и частной жизни, за исключением случаев, непосредственно связанных с вопросами трудовых отношений, и только с письменного согласия работника;

- членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных иными федеральными законами.

Обратите внимание! Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронно (п. 6 ст. 86 ТК РФ).

В то же время отметим, что если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. При этом работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение (п. 4 ст. 86 ТК РФ).

Приведем пример оформления уведомления работника.

ФГУ "Вымпел"

Исх. N 123 от 23.04.2013

Н.Н. Корнилову

Уведомление
о получении персональных данных от третьих лиц

Уважаемый Никита Николаевич!

Уведомляем Вас о том, что в соответствии с Вашим заявлением об утрате трудовой книжки, содержащем просьбу об оказании помощи в сборе информации о местах работы и периодах трудовой деятельности в ФГУ "Вымпел" в целях подтверждения страхового стажа, нами будут запрошены сведения, в том числе у третьих лиц.

Сведения будут запрашиваться в письменной форме при помощи средств почтовой связи и по телекоммуникационным каналам связи.

Согласно п. 3 ст. 86 ТК РФ просим Вас дать согласие на получение персональных данных от третьих лиц. При отказе от письменного согласия на их получение сведения о страховом стаже Вы будете собирать самостоятельно.

Полученные сведения будут направлены Вам посредством почтовой связи по адресу: 603000, Н. Новгород, ул. Бекетова, д. 126, кв. 512.

Начальник кадровой службы

Смолина

/В.В. Смолина/

Приложение: копия заявления Н.Н. Корнилова.

Если работник отказывается ознакомиться с таким уведомлением или не разрешает получать сведения от третьих лиц, необходимо составить соответствующий акт.

Приведем образец заполнения согласия работника на получение работодателем персональных данных от третьих лиц.

ФГУ "Вымпел"

Директору Юрову С.М.

от Корнилова Никиты Николаевича,

зарегистрированного по адресу:

603000, Н. Новгород, ул. Бекетова, д. 126, кв. 512.

Паспорт серии 01 02 N 123456

выдан 17.11.2006 УВД Советского р-на Н. Новгорода

Согласие
на получение персональных данных от третьих лиц

Я, Корнилов Никита Николаевич, в соответствии со ст. 9 Федерального закона N 152-ФЗ с уведомлением ознакомлен и даю согласие ФГУ "Вымпел", расположенному по адресу г. Н. Новгород, ул. Лесная, д. 222, на получение моих персональных данных о предыдущих местах работы и периодах трудовой деятельности от третьих лиц.

Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.

Корнилов

/Корнилов Н.Н./

Также работодателю следует утвердить перечень сведений, относящихся к персональным, и ознакомить с ним работников под роспись.

Обработка персональных данных

Обработка персональной информации работника подразумевает соблюдение определенных правил для обеспечения прав и свобод человека. Принципы и условия обработки персональных данных закреплены в гл. 2 Федерального закона N 152-ФЗ, а в ст. 86 ТК РФ - общие требования к обработке персональных данных работника и гарантии их защиты. Требования, которые должен выполнять работодатель при передаче персональных данных работников, содержатся в ст. 88 ТК РФ.

Отметим, что персональные данные, поступившие к работодателю или ставшие ему доступными, обрабатываются соответствующим структурным подразделением учреждения.

Частью 1 ст. 6 Федерального закона N 152-ФЗ предусмотрено, что обработка персональных данных, то есть действия (операции) с персональными данными (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных), может осуществляться оператором с согласия субъектов персональных данных.

Суды указывают на то, что в силу п. 5 ч. 1 ст. 6 Федерального закона N 152-ФЗ согласие субъекта персональных данных на их обработку работодателем не обязательно. Это связано с тем, что обработка данных с учетом указанной нормы необходима для исполнения договора, стороной которого является субъект персональных данных. Такое мнение представлено в Определении ВС Республики Удмуртия от 25.01.2012 N 33-198.

Обратите внимание! Действие Федерального закона N 152-ФЗ не распространяется на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов этих данных.

Однако считаем, что согласие на обработку персональных данных все же следует получить в соответствии со ст. 9 Федерального закона N 152-ФЗ и п. 8 ст. 86 ТК РФ, чтобы не возникло конфликтных ситуаций. В силу ч. 4 ст. 9 Федерального закона N 152-ФЗ обработка персональных данных осуществляется только с согласия в письменной форме их субъекта. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие работника на обработку его персональных данных в письменной форме должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, сведения из основного документа, удостоверяющего его личность;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, сведения из основного документа, удостоверяющего его личность, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес работодателя, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено законом;

9) подпись субъекта персональных данных.

Уточним, что в силу ст. 10 и 11 Федерального закона N 152-ФЗ установлены особенности обработки отдельных видов персональных данных. В частности, только при наличии письменного согласия, а также в прямо предусмотренных законом случаях могут обрабатываться:

- сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни;

- сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных.

В то же время исходя из Разъяснений Роскомнадзора*(3) не требуется получать соответствующее согласие от работника:

- при условии, что объем обрабатываемых работодателем персональных данных (ч. 5 ст. 5 Федерального закона N 152-ФЗ) не превышает установленные перечни, а также соответствует целям обработки, предусмотренным ТК РФ и Федеральным законом N 79-ФЗ;

- в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ.

Кроме того, не требуется согласия на обработку данных работодателем в случаях, когда:

1. Обязанность по обработке (в том числе опубликованию и размещению персональных данных работников в Интернете) предусмотрена законодательством РФ. Например:

- медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием Интернета, о медицинских работниках, об уровне их образования и об их квалификации;

- образовательное учреждение должно размещать на своем официальном сайте в Интернете информацию, содержащую фамилию, имя, отчество руководителя образовательного учреждения, адрес электронной почты, а также фамилии, имена, отчества, должности руководителей структурных подразделений, включая филиалы и представительства, адреса электронной почты, информацию о персональном составе педагогических (научно-педагогических) работников, их фамилии, имена, отчества, занимаемые должности, уровень образования, квалификации, наличие ученой степени, ученого звания.

2. Обрабатываются персональные данные близких родственников работника, предусмотренные формой Т-2, и в других случаях (например, при алиментных обязательствах, оформлении социальных выплат). В этих случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

3. Обрабатываются специальные категории персональных данных работника, в том числе сведения о состоянии здоровья, относящиеся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона N 152-ФЗ, в рамках трудового законодательства.

4. Персональные данные работника передаются третьим лицам, если это необходимо в целях предупреждения угрозы его жизни и здоровью, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.

Например, передача персональных данных работников в ФСС, ПФР, налоговые органы, военные комиссариаты, профсоюзные органы (Письмо Роскомнадзора от 27.06.2011 N ШР-13444) осуществляется без согласия. Также согласие не требуется при передаче персональных данных в случаях, связанных с выполнением должностных обязанностей, в том числе при командировании работников.

К сведению. При поступлении запроса от третьих лиц работодатель обязан получить согласие работника на предоставление его персональных данных, а также предупредить лиц, получающих эти данные, о том, что они могут использоваться только в целях, для которых сообщены. Работодатель вправе требовать от третьих лиц подтверждение соблюдения этого условия.

5. Обрабатываются персональные данные работника при осуществлении пропускного режима на территории служебных зданий и помещений работодателя, если организация пропускного режима осуществляется работодателем самостоятельно либо указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми по правилам ст. 372 ТК РФ.

6. Обрабатываются персональные данные уволенного работника в случаях и сроки, предусмотренные законодательством РФ. Уточним, что после увольнения обработка персональных данных осуществляется в рамках не только бухгалтерского и налогового учета, но и при социальном обеспечении.

Передача персональных данных

При передаче персональных данных работника работодатель должен соблюдать требования, установленные ст. 88 ТК РФ, в частности:

- не сообщать данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ и иными федеральными законами;

- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие такие данные, обязаны соблюдать режим секретности (конфиденциальности);

- осуществлять передачу персональных данных работника в пределах одного учреждения в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

- разрешать доступ к персональным данным работников только специально уполномоченным лицам. При этом указанные лица должны иметь право получать только те данные, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передавать персональные данные работника представителям работников в порядке, установленном настоящим ТК РФ и иными федеральными законами. При этом следует ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

Также хотим подчеркнуть, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления зарплаты, осуществляется без его согласия (Разъяснения Роскомнадзора) в случаях, когда:

а) договор на выпуск банковской карты заключался напрямую с работником и в тексте договора были предусмотрены положения о передаче работодателем персональных данных работника;

б) у работодателя имеется доверенность на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующее обслуживание;

в) соответствующая форма и система оплаты труда прописаны в коллективном договоре (ст. 41 ТК РФ).

Ответственность за нарушение норм, регулирующих защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника на основании ст. 90 ТК РФ, привлекаются к ответственности:

- дисциплинарной (ст. 192 ТК РФ);

- материальной (разд. XI "Материальная ответственность сторон трудового договора" ТК РФ);

- гражданско-правовой (ч. 2 ст. 24 Федерального закона N 152-ФЗ, ст. 15, 24, 56, 151, гл. 25 "Ответственность за нарушение обязательств", 59 "Обязательства вследствие причинения вреда" ГК РФ);

- административной (ст. 5.39, 13.11, 13.14 КоАП РФ);

- уголовной (ст. 137, 140, 272 УК РФ).

Следует помнить, что принятие мер административной или уголовной ответственности позволяет работодателю также принять меры дисциплинарной ответственности вплоть до увольнения (пп. "в" п. 6 ч. 1 ст. 81 ТК РФ) к работникам, за которыми закреплено обязательство по соблюдению правил работы с персональными данными.

Кроме того, исходя из смысла ст. 2.4 КоАП РФ ответственность за нарушение налагается кроме учреждения на должностных лиц.

Отметим, что обязанность работодателя обеспечивать защиту персональных данных работника подтверждается судебной практикой. В постановлениях ФАС МО от 14.01.2010 N КА-А40/14463-09 и от 29.04.2010 N КА-А40/4062-10 указано, что в соответствии со ст. 67 ТК РФ, ст. 3 Федерального закона N 152-ФЗ трудовой договор является документом, содержащим персональные данные работника. Соответственно, работодатель правомерно не представил копию трудового договора с генеральным директором, поскольку ст. 88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне.

В.В. Данилова,

эксперт журнала "Отдел кадров

государственного (муниципального) учреждения"

"Отдел кадров государственного (муниципального) учреждения", N 5, май 2013 г.

-------------------------------------------------------------------------

*(1) Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера".

*(2) Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".

*(3) Разъяснения Роскомнадзора от 14.12.2012 "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве". Текст документа опубликован на сайте http://www.rsoc.ru/news/rsoc/news17877.htm.