Осторожно: персональные данные! (С.С. Кислов, "Строительство: бухгалтерский учет и налогообложение", N 3, март 2011 г.)

Осторожно: персональные данные!

Некоторые организации (включая строительные), даже несмотря на кризис, тратят значительные средства на подбор персонала. Высококвалифицированный и опытный работник на сегодняшний день является "жемчужиной" российского кадрового рынка, в погоне за которым работодатели порой не гнушаются ни нормами морали, ни нормами закона. При этом самое распространенное нарушение и того и другого - "беспардонное влезание" в частную жизнь человека. С одной стороны, работодателя можно понять, ведь от того, какого человека возьмешь на работу, зависит во многом прибыльность, а значит, и будущее организации. И делать выбор вслепую, то есть брать кота в мешке, не хочется никому. Но, с точки зрения работника, такое поведение работодателя, мягко говоря, представляется в весьма сомнительном свете. Как же разрешить данную ситуацию?

Статьи 23 и 24 Конституции РФ предусматривают, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну и что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Данные положения Конституции детализированы во многих законодательных актах, главным среди которых является Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ). А применительно к трудовым отношениям эти нормы дополнительно закреплены в гл. 14 ТК РФ (ст. 85-90).

Что необходимо знать работодателю, руководителю организации, а также работникам, имеющим доступ к личной информации о человеке, чтобы не переступить грань неприкосновенности частной жизни? Ответ на этот и другие вопросы вы найдете в данной статье.

Персональные данные и основные требования при их обработке

Деятельность строительных организаций, естественно, "не зациклена" только на собственном персонале. Поэтому, кроме данных о работниках, "в руки" фирмы попадает и личная информация о партнерах, а также о клиентах, которая в той же мере охраняется законом. В связи с этим далее нами будет рассматриваться информация, полученная не только в результате трудовых отношений, но и в результате финансово-хозяйственной деятельности строительных организаций.

В трудовых отношениях личная информация о работнике выражена в понятии "персональные данные работника". В соответствии со ст. 85 ТК РФ это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А в самом общем виде (п. 1 ст. 3 Закона N 152-ФЗ) персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (далее - субъект персональных данных), в том числе:

- фамилия, имя, отчество;

- год, месяц, дата и место рождения;

- адрес;

- семейное, социальное, имущественное положение;

- образование, профессия, доходы и другая информация.

Любые действия, операции, производимые с персональными данными, называются обработкой персональных данных. К таким действиям относится сбор, получение, систематизация, комбинирование, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе и передача), обезличивание, блокирование и уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ, ст. 85 ТК РФ).

Юридические и физические лица, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных, называются операторами персональных данных.

Разобравшись с общими понятиями, перейдем к основным требованиям, которые предъявляются при обработке персональных данных.

Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных (за исключением случаев, которые будут рассмотрены нами позднее) (ст. 6 Закона N 152-ФЗ).

Трудовой кодекс относительно трудовых отношений дополняет (ст. 86), что обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Обратите внимание! Персональные данные работника следует получать у него самого. Если персональные данные работника можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, об их характере и последствиях отказа работника дать письменное согласие на их получение.

Субъект персональных данных предоставляет соответствующие сведения и дает согласие на их обработку, руководствуясь исключительно своей волей и своими интересами, за исключением случая, когда он обязан предоставить эти данные в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (ст. 9 Закона N 152-ФЗ).

В тех случаях, когда персональные данные предоставляются по своей воле, согласие на их обработку должно быть оформлено в письменной форме. Причем под письменной формой может признаваться как привычное всем нам "бумажное" оформление согласия с собственноручной подписью, так и согласие, данное в форме электронного документа, подписанного электронной цифровой подписью или иными аналогами собственноручной подписи.

Нормы трудового права (ст. 86 ТК РФ) устанавливают дополнительные требования для работодателей: кроме согласия, необходимо еще ознакомить работника и его представителя под роспись с локальными документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

Обратите внимание! Обязанность представить доказательства получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора (ст. 9 Закона N 152-ФЗ).

Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва;

- собственную подпись субъекта персональных данных.

Как уже было сказано ранее, в ст. 6 Закона N 152-ФЗ предусмотрены случаи, когда получать согласие субъекта персональных данных необязательно. В частности, это обработка персональных данных:

- в целях исполнения договора, одной из сторон которого является субъект персональных данных;

- для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- в целях профессиональной деятельности журналиста при условии, что при этом не нарушаются права и свободы субъекта персональных данных, а также в некоторых других случаях.

Обратите внимание! Вне зависимости от того, нужно получать согласие на обработку персональных данных или не нужно, оператором и третьими лицами, получившими доступ к персональным данным, в любом случае должно обеспечиваться условие конфиденциальности. Исключением из этого правила являются обезличенные персональные данные (например, данные статистики), а также данные, находящиеся в общедоступных источниках (ст. 7 Закона N 152-ФЗ).

Общедоступные источники в соответствии со ст. 8 Закона N 152-ФЗ могут создаваться в целях информационного обеспечения общественности. Среди наиболее популярных общедоступных источников можно назвать различные справочники, адресные книги и т.д. В них с согласия субъекта персональных данных можно включить: ФИО, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные. При этом обязанность доказывания того, что обрабатываемые данные являются общедоступными, возлагается на оператора (ст. 9 Закона N 152-ФЗ).

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Специальные категории персональных данных

Чтобы обеспечить наилучшую защиту сведений, законодатель выделил наиболее важную информацию о человеке в отдельную специальную категорию персональных данных. К такой информации относятся данные о расовой, национальной принадлежности человека, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни человека (ст. 10 Закона N 152-ФЗ). В трудовом законодательстве данный список можно дополнить информацией о членстве работника в общественных объединениях или о его профсоюзной деятельности (ст. 86 ТК РФ).

В рамках персональной информации, полученной в ходе деятельности строительной организации, необходимо запомнить, что обрабатывать рассмотренные выше данные можно только в случаях, указанных в п. 2 ст. 10 Закона N 152-ФЗ. В частности:

- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

- персональные данные являются общедоступными.

Есть еще и другие условия, предусмотренные данной нормой, но они не соотносятся с деятельностью строительной организации.

Что же касается трудовых отношений, то здесь также можно выделить два основных условия, разрешающих обработку специальной категории данных:

- если данная информация непосредственно связана с вопросами трудовых отношений и работник дал согласие в письменной форме на обработку этих персональных данных;

- если возможность обработки рассматриваемых данных прямо предусмотрена ТК РФ и другими федеральными законами.

Передача персональных данных работника

Статьей 88 ТК РФ работодателю запрещено сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы его жизни и здоровью, а также в других случаях, предусмотренных ТК РФ.

Примечание. Работодателю запрещено сообщать кому-либо персональные данные работника в коммерческих целях без его письменного согласия.

Лица, получающие персональные данные работника, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Работодатель вправе требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).

Осуществлять передачу персональных данных работника в пределах одной организации необходимо в соответствии с локальным нормативным актом данной организации, с которым работник, как было указано ранее, должен быть ознакомлен под роспись.

Осуществлять обработку персональных данных работника должны только специально уполномоченные на то лица. Причем они имеют право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

И наконец, работодателю запрещено запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Обязанности оператора персональных данных

Оператор обязан сообщить субъекту персональных данных или его законному представителю информацию о наличии у него персональных данных, относящихся к данному физическому лицу (ст. 20 Закона N 152-ФЗ). Субъект персональных данных вправе ознакомиться "со своими данными", находящимися у оператора. Получить доступ к данным указанное лицо может либо путем непосредственного обращения к оператору с такой просьбой (в этом случае данные необходимо предоставить немедленно или нужно договориться о времени предоставления), либо путем направления запроса. Во втором случае возможность ознакомиться с данными надо предоставить в течение 10 рабочих дней с даты получения запроса.

К сведению. Организация должна предоставить эти сведения физическому лицу в доступной форме, бесплатно, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных (ст. 14 Закона N 152-ФЗ).

Запрос на получение информации о персональных данных должен содержать номер документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, а также собственноручную подпись субъекта персональных данных или его законного представителя. Запрос также может быть направлен и в электронной форме, подписанный электронной цифровой подписью.

Субъект персональных данных имеет право на получение следующей информации:

- подтверждение самого факта обработки персональных данных оператором, а также цель такой обработки;

- способы обработки персональных данных, применяемые оператором;

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Иногда ситуация складывается так, что данные, находящиеся у оператора, оказываются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. В этих случаях либо по своей инициативе, либо по предоставлении субъектом персональных данных (или его представителем) сведений, подтверждающих эти нарушения, нужно внести в персональные данные необходимые изменения, уничтожить или блокировать их.

О внесенных изменениях и предпринятых мерах надо в обязательном порядке уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных организация обязана прекратить обработку персональных данных и уничтожить их в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Физическое лицо необходимо уведомить об уничтожении его персональных данных.

Уведомление об обработке персональных данных

Статья 22 Закона N 152-ФЗ обязывает организацию до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такую обработку. По сути, будущий оператор должен встать на своеобразный учет. Однако строительным организациям делать это, скорее всего, не потребуется. Дело в том, что обязанность направления уведомления не действует в отношении данных:

- относящихся к работникам организации (наличие трудовых отношений);

- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных (если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных).

Иными словами, обрабатывая персональные данные своих работников или участников долевого строительства, уведомлять уполномоченный орган стройфирма не обязана.

* * *

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий (ст. 19 Закона N 152-ФЗ). В связи с этим Правительством РФ приняты два постановления:

- от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

В заключение скажем, что обработка персональных данных предполагает большое количество обязанностей оператора, выполнить которые порой просто нет возможности. В связи с этим деятельность практически любой фирмы в этой сфере представляется лакомым кусочком для проверяющей организации. И для того чтобы чувствовать себя более уверенно при проведении проверок на соблюдение законодательства о персональных данных, в следующем номере мы рассмотрим, какова ответственность за нарушение такого законодательства, и разберем процедуру проведения соответствующих проверок.

С.С. Кислов,

эксперт журнала "Строительство:

бухгалтерский учет и налогообложение"

"Строительство: бухгалтерский учет и налогообложение", N 3, март 2011 г.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.