Обработка персональных данных трудовой договор. Обязан ли работодатель требовать от работников письменное согласие на обработку персональных данных, в том числе при заключении трудового договора? Заявление на обработку персональных данных

Узнаем некоторые особенности получения согласия на обработку персональных данных.

Если закон устанавливает обязанность получить согласие субъекта ПД на их обработку, оператор не имеет права принуждать этого субъекта к подписанию соответствующего соглашения. Гражданин принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст. 9 Закона о персональных данных).

Если субъект ПД недееспособен, согласие на обработку дает его законный представитель (например, если субъект – ребенок, его представляет один из родителей). Если субъект ПД мертв, согласие необходимо получить у его наследников (при условии, что это согласие не было дано субъектом ПД при жизни) .

Роскомнадзор в Разъяснениях указывает, что работодатель вправе обрабатывать персональные данные работника без получения соответствующего согласия в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка (являющимися обычно приложением к коллективному договору), соглашением, а также локальными актами.

А вот при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан получить согласие работников на передачу их персональных данных.

Пунктом 2 ст. 9 Закона о персональных данных предусмотрена возможность субъекта ПД отозвать свое согласие на их обработку. Там же оговаривается возможность такой обработки без согласия субъекта ПД в случаях, установленных законом.

Форма согласия на обработку ПД

Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой форме, позволяющей подтвердить факт его получения (если иное не установлено федеральным законодательством (п. 1 ст. 9 Закона о персональных данных).

Роскомнадзор в Разъяснениях рекомендует согласие работника либо оформлять в виде отдельного документа, либо закреплять в тексте трудового договора. Требования к содержанию такого документа указаны в ч. 4 ст. 9 Закона о персональных данных.

Согласие в письменной форме должно включать в себя , в частности:

1) фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПД;

4) цель обработки персональных данных;

5) перечень ПД, на обработку которых дается согласие субъекта ПД;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;

8) срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Если согласие на обработку ПД составляется в форме электронного документа , оно должно быть подписано электронной подписью – таково требование п. 4 ст. 9 Закона о персональных данных.

Некоторые вопросы получения согласия субъекта ПД на их обработку

Что нужно учитывать, когда условие об обработке ПД является частью документа, например, договора?

Когда условие об обработке ПД является неотъемлемой частью подписываемого документа:

1. Содержание согласия должно быть конкретным и информированным , то есть включать сведения, позволяющие субъекту ПД однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Законом о персональных данных установлены требования к форме такого согласия (которые разберем ниже).

2. Документ должен предусматривать возможность отказа от данного условия, поскольку согласие добровольное.

Возьмем в качестве примера Постановление Девятого арбитражного апелляционного суда от 20.04.2015 № 09АП-9095/2015-АК. Гарантийная мастерская вынудила клиента подписать приложение к заявлению о сдаче товара, включающее пункт о согласии на обработку персональных данных. Согласие было неотъемлемой частью приложения, имело типовую форму с заранее определенными условиями, что не позволяло потребителю влиять на его содержание. Кроме того, приложение не предоставляло возможности отказаться от этого условия. Суд признал ремонтную организацию виновной в нарушении Закона о персональных данных.

Получатель жилищной субсидии не дает согласия на обработку персональных данных по религиозным соображениям. Имеет ли он право на получение госуслуги?

Когда обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Законом о госуслугах , для обеспечения предоставления такой услуги, для регистрации субъекта ПД на едином портале государственных и муниципальных услуг, согласие субъекта ПД на обработку указанной информации не требуется.

Статьей 6 Закона о персональных данных определены условия обработки персональных данных, в том числе указаны случаи, когда допускается обработка ПД без согласия на это субъекта ПД, среди которых и получение госуслуги. Из буквального толкования названной нормы следует, что каждый из таких случаев является самостоятельным основанием обработки персональных данных .

Получатель госуслуги в заявлении на ее получение выражает согласие на передачу и обработку своих персональных данных, необходимых для предоставления услуги.

Обращаясь с заявлением о предоставлении жилищной субсидии и указывая в нем необходимые данные, а также прилагая к нему предусмотренные законодательством документы, получатель госуслуг фактически выражает согласие на передачу и обработку своих персональных данных, требуемых для предоставления услуги.

Ни Законом о персональных данных, ни Законом о госуслугах не установлено, что обработка персональных данных гражданина в целях предоставления ему государственных или муниципальных услуг должна осуществляться только с его письменного согласия. Гражданин имеет право получать госуслуги даже без предоставления письменного заявления на обработку своих персональных данных.

Рассмотрим Апелляционное определение Костромского областного суда от 16.05.2012 по делу № 33-703А. При подаче документов в МФЦ гражданка не стала подписывать заявление о согласии на сбор ее персональных данных, в связи с чем ей было отказано в выплате субсидии. Суд первой инстанции признал действия сотрудников МФЦ правильными, поскольку обработка персональных данных заявителя сотрудниками МФЦ может осуществляться только с письменного согласия. Нежелание дать такое согласие – основание для отказа в приеме заявления и комплекта документов на предоставление государственных и муниципальных услуг.

Вывод суда о том, что МФЦ как оператор персональных данных обязан обеспечить их защиту, соответствовал нормам Закона о персональных данных и Закона о госуслугах. Вместе с тем последующие выводы о невозможности обработки персональных данных без письменного согласия получателя госуслуг и обоснованности отклонения документов на предоставление субсидии апелляционный суд признал ошибочными, поскольку заявление о предоставлении госуслуги с приложенными к нему документами получатель не отзывал, от предоставления услуги не отказывался. А отзыв заявления о согласии на обработку персональных данных, получение которого в силу закона необязательно, не являлся основанием для невозможности предоставления госуслуги. Тем более что у оператора были основания продолжить обработку персональных данных без согласия субъекта ПД.

Субъект ПД уклоняется от исполнения договора (не платит по счетам) и не хочет, чтобы кредитор беспокоил его звонками. Может ли субъект отозвать согласие на обработку своих персональных данных?

Обработка персональных данных может быть продолжена даже после того, как субъект ПД направил требование о ее прекращении, если правоотношения, возникшие между сторонами, продолжаются.

Рассмотрим в качестве примера Апелляционное определение Пермского краевого суда от 14.10.2015 по делу № 33-11127/2015. При заключении кредитного договора гражданин дал согласие на обработку ПД, а впоследствии обратился с заявлением об отзыве этого согласия. Банк отказался исполнить требования клиента, поскольку у него имелась просроченная задолженность. Суд первой инстанции, а затем и апелляционный суд, куда обратился должник, указали, что согласие на обработку персональных данных действительно может быть отозвано субъектом персональных данных (п. 2 ст. 9 Закона о персональных данных). Однако в случае отзыва субъектом ПД согласия на обработку оператор все равно может ее продолжить при наличии на то законных оснований.

Одно из таких оснований установлено п. 5 ч. 1 ст. 6 Закона о персональных данных: обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет выгодоприобретателем или поручителем.

Субъект ПД отозвал согласие на их обработку. Но оператор может ее продолжить при наличии на то законных оснований, например, если это необходимо для исполнения договора с субъектом ПД.

Как следует из содержания данной нормы закона, согласие субъекта ПД на обработку персональных данных не требуется, если она осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД. Поскольку субъект ПД задолженность перед банком не погасил – договор не расторгнут , для взыскания недостающих сумм кредитная организация вправе продолжать обработку ПД и после отзыва субъектом ПД своего согласия.

Случается и другое – оператор обрабатывает персональные данные лица, не участвующего в договоре , которые предоставлены другой стороной при заключении сделки. Например, получатель кредита указывает телефоны своих близких родственников, по которым можно с ним связаться. Оператор может получить такие данные иным путем, если другая сторона не выполняет обязательства по договору. Но следует помнить, что в рассматриваемом случае обработка полученных оператором персональных данных незаконна, несмотря на то, что это могло бы помочь исполнению договора.

Объект ПД, не давший своего согласия на обработку ПД и не являющийся стороной договора, имеет право потребовать прекратить незаконно использовать полученные сведения , а также компенсировать моральный и материальный вред, полученный в результате указанных действий. Рассмотрим Апелляционное определение Верховного Суда Республики Карелия от 14.09.2015 по делу № 33-3094/2015. При заключении договора по просьбе сотрудника банка клиент предоставил телефон своей супруги. После несвоевременного внесения очередной суммы обязательного платежа сотрудники банка стали звонить женщине с требованием посодействовать в возвращении долга. В первом же разговоре жена должника сообщила, что не согласна на использование ее персональных данных, и просила прекратить их обработку. Однако звонки с угрозами и требованиями продолжали поступать. Суд, куда обратилась истица, признал действия банка незаконными, потребовал прекратить обработку персональных данных и выплатить женщине компенсацию морального вреда, поскольку ст. 17, 24 Закона о персональных данных предусмотрено право субъекта ПД на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Вправе ли прокурор потребовать от медучреждения предоставить персональные данные пациентов, больных наркоманией, если согласия на такую обработку ПД эти пациенты не давали?

Прокурор или иное должностное лицо имеет право на получение персональных данных в том числе пациентов больницы, если обработка данных необходима для осуществления и выполнения возложенных на него законодательством РФ функций, полномочий и обязанностей.

В качестве примера рассмотрим Апелляционное определение Челябинского областного суда от 17.07.2014 по делу № 11-6845/2014. Районный прокурор в интересах неустановленного круга лиц через суд лишил водителя права на управление транспортным средством. Причиной послужило наличие у гражданина заболевания, запрещающего вождение автомобиля. Информация была получена прокурором посредством предоставления выписки из истории болезни.

Водитель решил, что его персональные данные были обработаны без согласия, и обратился в суд, указав, что не давал согласия на обработку ПД во время лечения от алкоголизма в районной больнице. Суд счел правильными действия прокурора, а также действия администрации больницы, предоставившей должностному лицу выписку из истории болезни пациента. Суд установил, что администрация больницы предоставила список лиц, состоящих на диспансерном учете с диагнозом «наркомания» районному прокурору по его требованию.

Должностное лицо вправе получить персональные данные, если это необходимо для осуществления и выполнения возложенных на него функций, полномочий и обязанностей.

В силу толкования ст. 1, 21, 22 Закона о прокуратуре прокурор при осуществлении возложенных на него функций вправе в том числе требовать от руководителей организаций и других должностных лиц представления необходимых для выяснения возникших вопросов сведений.

В соответствии с п. 2 ч. 1 ст. 6 Закона о персональных данных обработка ПД допускается для достижения целей, указанных в законе, для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей. Таким образом, Закон о персональных данных, которым предусмотрена обработка персональных данных с согласия их носителя, не препятствует удовлетворению запроса прокурора на истребование сведений в отношении лиц, состоящих на учете в медучреждениях с диагнозами, не позволяющими иметь разрешение на управление транспортными средствами.

Имеет ли право медучреждение заключить договор с ритуальным агентством на предмет перевозки умерших? Не будет ли это расценено как нарушение врачебной тайны и незаконная передача персональных данных?

Если доказательств получения ритуальным агентством в качестве встречного обязательства информации о родственниках умершего суду не будет представлено, то есть если будет доказано, что договор с медучреждением заключен без обязательной передачи персональных данных, действия участников договора будут признаны правомерными.

Рассмотрим в качестве примера Постановление ФАС УО от 26.03.2013 № Ф09-1909/13. Между ритуальным агентством и муниципальной больницей был заключен договор на оказание безвозмездных услуг по обеспечению перевозок умерших в морг специализированным транспортом. ФАС посчитала, что данный договор противоречит п. 5 ч. 1 ст. 14 Закона о защите конкуренции , что выражается в совершении действий, направленных на незаконное получение и использование информации (персональных данных), и вынесла постановление о прекращении нарушения. По мнению антимонопольного органа, ритуальное агентство оказывало услуги в обмен на контакты родственников умершего.

Факт незаконной передачи персональных данных третьему лицу может быть установлен только при наличии соответствующих доказательств.

Кроме того, обработка персональных данных не допускается без согласия субъекта ПД, а в случае его смерти – без согласия его наследников (п. 1 ст. 6, п. 7 ст. 9 Закона о персональных данных). Также в силу ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к указанной информации, обязаны не раскрывать третьим лицам и не распространять персональные данные без соответствующего согласия.

Еще один запрет на передачу информации третьим лицам (в нашем случае – ритуальному агентству) содержат п. 1, 2 ст. 13 Закона о здоровье, не допускающие разглашение врачебной тайны (сведений о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иных сведений, полученных при медицинском обследовании и лечении) в том числе после смерти человека. Таким образом, по мнению антимонопольного органа, передавать информацию об умерших ритуальному агентству больница не имела права.

Однако суды указали, что из текста заключенного договора не следует, что ритуальное агентство в качестве встречного предоставления получило от больницы информацию об умерших. В договоре также не указано, что перевозчик получает какие-либо документы, содержащие персональные данные умерших. При этом антимонопольный орган не установил, каким способом осуществляется документооборот в больнице. Соответственно, доказательств, подтверждающих передачу от больницы ритуальному агентству персональных данных в период исполнения договора, антимонопольный орган предоставить не смог – суд первой инстанции, а впоследствии и апелляционный суд посчитали действия ФАС незаконными.

Итак, обратите внимание, что именно оператор – то есть организация или лицо, обрабатывающие персональные данные (производящие с ними любые действия), – обязан доказать, что согласие субъекта ПД на их обработку получено или что обработка данных возможна на основаниях, установленных законом .

В силу п. 2 ст. 24 Закона о персональных данных моральный вред, причиненный субъекту ПД вследствие нарушения его прав, правил обработки персональных данных подлежит возмещению в соответствии с законодательством РФ. Причем возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков.

См. статью С. П. Фролова «Какие персональные данные можно обрабатывать?», № 3, 2016.

Статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

Пункты 6, 7 Закона о персональных данных.

Письмо Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» опубликовано на официальном сайте www.rsoc.ru.

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

Федеральный закон от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации».

Федеральный закон от 26.07.2006 № 135-ФЗ «О защите конкуренции».

Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

Пункт 3 ст. 9 Закона о персональных данных.

Необходимо ли брать согласие с работника при заключении с ним трудового договора или когда сотрудник пишет заявление о приеме на работу он уже тем самым дает согласие на обработку своих персональных данных?

Ответ

Ответ на вопрос:

В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" персональные данные - это любая информация, относящаяся к определенному или определяемому на ее основании физическому лицу. К такой информации относятся, в частности, фамилия, имя, отчество этого лица, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы.

Оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие или осуществляющие обработку таких данных, а также определяющие цели и содержание обработки (п. 2 ст. 3 Закона № 152-ФЗ).

Понятие "обработка персональных данных" включает в себя весь спектр действий (операций) с персональными данными, в том числе: их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокирование и уничтожение.

Следовательно, в силу Закона № 152-ФЗ как только в распоряжении организации появляются данные любого лица, эта организация становится оператором персональных данных и обязана обеспечить их защиту. Обработка таких данных осуществляется только с письменного согласия сотрудников .

Однако, в отдельных случаях обработка персональных данных возможна и без согласия сотрудника .

  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
  • налоговые органы (ст. 24 НК РФ);
  • ФФОМС, ФСС России (ст. 15 Закона от 24 июля 2009 г. № 212-ФЗ);
  • военные комиссариаты (ст. 4 Закона от 28 марта 1998 г. № 53-ФЗ);

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Таким образом, можно сказать, что в соответствии с законодательством, в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления, и выполнения возложенных законодательством России на оператора функций, брать согласие с сотрудника на обработку персональных данных не нужно .Исключение составляет предоставление персональных данных третьим лицам . При этом, организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу, так как согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Таким образом, считаем, что брать согласие при заключении трудового договора вовсе не обязательно, т.е. в рамках трудового договора вы имеете право обрабатывать персональные данные без согласия, а в случае передачи данных третьим лицам вам в любом случае нужно будет брать согласие на каждый конкретный случай.

Подробности в материалах Системы Кадры:

  1. Ответ: Как организовать обработку персональных данных сотрудников

Персональные данные сотрудников

Согласие сотрудника на обработку персональных данных

По ходу деятельности у работодателя возникает необходимость в . Обработка таких данных осуществляется только с сотрудников. При этом согласие должно включать в себя следующую информацию:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись сотрудника.

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) ().

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в . В такой ситуации организация вправе продолжить с учетом ограничений, указанных в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя ().

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем ().

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в разъяснений Роскомнадзора от 14 декабря 2012 г.

Ситуация: Можно ли при заключении трудового договора получить у работника письменное согласие на предоставление его персональных данных третьим лицам во всех необходимых ситуациях до момента увольнения

Нет, нельзя.

Для передачи данных сотрудника третьим лицам организация обязана получить письменное согласие этого сотрудника. Без письменного согласия сотрудника его персональные данные могут быть переданы третьим лицам тогда, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, и в других случаях, предусмотренных федеральными законами. Такие правила установлены статьи 88 Трудового кодекса РФ.

В Трудовом кодексе РФ не содержится требований к содержанию письменного согласия на передачу данных. Однако статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ установлено, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Из этого следует, что организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу. Лишь при таких условиях требование о конкретности и сознательности согласия может считаться выполненным. Перечень сведений, которые должны содержаться в письменном согласии на передачу персональных данных, установлен в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Случаи обработки данных без согласия сотрудника

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, - она может осуществляться без согласия сотрудника - субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

  • Пенсионный фонд РФ ();
  • налоговые органы ();
  • ФФОМС, ФСС России ();
  • военные комиссариаты ();
  • иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

Кроме того, согласие не требуется в следующих случаях:

  • обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, и рядом иных актов);
  • проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной или ), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
  • обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
  • обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
  • обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб ().

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

  • для должностных лиц (например, руководителя организации) от 500 до 1000 руб.;
  • для организации от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Такие меры ответственности предусмотрены статьями

Готовый план главных дел кадровика на I квартал 2019 года
Читайте в статье: Зачем кадровику проверять бухгалтерию, нужно ли сдавать новые отчеты в январе и какой код утвердить для табеля в 2019 году


  • Редакция журнала «Кадровое дело» выяснила, какие привычки кадровиков отнимают много времени, но при этом почти бесполезны. А некоторые из них даже могут вызвать недоумение у инспектора ГИТ.

  • Инспекторы ГИТ и Роскомнадзора рассказали нам, какие документы теперь ни в коем случае нельзя требовать у новичков при трудоустройстве. Наверняка какие-то бумаги из этого списка есть у вас. Мы составили полный список и подобрали для каждого запретного документа безопасную замену.

  • Если выплатите отпускные на день позже срока, компанию оштрафуют на 50 000 руб. Уменьшите срок уведомления о сокращении хотя бы на день – суд восстановит сотрудника на работе. Мы изучили судебную практику и подготовили для вас безопасные рекомендации.
  • Заключая трудовые договоры с работниками, и даже еще раньше – при осуществлении подбора сотрудников – работодатель обрабатывает персональные данные (ПД).
    Работодатель является оператором персональных данных, а значит должен учитывать множество вопросов и даже нюансов, связанных с обработкой и защитой персональных данных, которые имеют важное значение.

    1. Каковы законодательные требования к обработке ПД, которые необходимо учитывать работодателю?

    Начать следует с международно-правовых норм.

    Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28.01.1981) (далее – Конвенция), которая вступила в силу для нашей страны с 1 сентября 2013 года.

    Статья 24 Конституции Российской Федерации устанавливает запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

    Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), являющийся основным законодательным актом в этой сфере правового регулирования, базируется на тех же, что и Конвенция, основных принципах. Однако имеет свои особенности, например, устанавливает нашумевшую и широко обсуждавшуюся в СМИ в прошлом году обязанность оператора осуществлять хранение персональных данных российских граждан на территории РФ.

    Глава 14 ТК РФ конкретизирует особенности защиты персональных данных применительно к работникам.

    Следует также учитывать и применять действующие нормативные правовые акты в сфере обработки персональных данных, например, постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другие.

    2. Какая ответственность может грозить работодателю за нарушения в сфере обработки ПД?

    Статья 13.11 КоАП РФ в настоящий момент содержит всего один общий состав, предусматривающий одинаковую ответственность за любое нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

    Размер штрафа для юридических лиц может колебаться от 5000 до 10 000 рублей.

    Данное наказание является малозначительным, давно не соответствует тяжести административного правонарушения и не обеспечивает превентивной функции, что в итоге приводит к массовому игнорированию требований действующего законодательства и к нарушениям в процессе их обработки.

    Однако уже с 1 июля 2017 года ситуация изменится: в КоАП РФ внесены соответствующие изменения, благодаря которым в ст. 13.11 появятся новые составы административных правонарушений, а также увеличится размер штрафа.

    В отдельные составы правонарушения будут выделены обработка ПД в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора персональных данных (ч. 1 ст. 13.11 КоАП РФ3). Должностное лицо будет оштрафовано по этой норме на сумму от 5000 до 10 000 рублей, а организация – от 30 000 до 50 000 рублей.

    Самостоятельный состав будет образовывать обработка ПД без письменного согласия их субъекта (работника), либо обработка ПД с нарушением требований к составу сведений, включаемых в письменное согласие (ч. 2 ст. 13.11 КоАП РФ). Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации – от 15 000 до 75 000 рублей.

    Оператора ПД (работодателя) теперь накажут также за невыполнение обязанности по предоставлению субъекту ПД информации, касающейся их обработки (ч. 4 ст. 13.11 КоАП РФ). Ответственный сотрудник может быть оштрафован за такое нарушение на сумму от 4000 до 6000 рублей, индивидуальный предприниматель как работодатель – от 10 000 до 15 000 рублей, организация – от 20 000 до 40 000 рублей.

    Ответственность наступит и если оператор нарушит требования работника об уточнении ПД, их блокировании или уничтожении в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 5 ст. 13.11 КоАП РФ). Должностное лицо может быть оштрафовано на сумму от 4000 до 10 000 рублей, индивидуальный предприниматель – от 10 000 до 20 000 рублей, юридическое лицо – от 25 000 до 45 000 рублей.

    Остальные появившиеся составы административного правонарушения работодателей коснуться не должны. Как видите, максимальный размер штрафа для юридических лиц предусмотрен ч. 2 ст. 13.11 КоАП РФ и может составить до 75 000 рублей. А учитывая последнюю практику проверяющих органов, когда за каждое выявленное в ходе одной проверки нарушение налагается отдельный штраф, – общая сумма наказания может быть довольно существенной.

    3. Является ли наличие специального положения о работе с ПД обязательным для работодателя?

    Пункт 8 ч. 1 ст. 86 ТК РФ устанавливает, что работники и их представители должны быть ознакомлены под личную подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Таким образом, законодатель устанавливает обязательность наличия такого документа.

    Указанные вопросы возможно включить отдельным разделом в ПВТР. Допустимо также составление отдельного документа с любым названием, соответствующим документообороту организации. Это могут быть регламент, положение, правила. Каждый из этих документов будет локальным нормативным актом (ЛНА).

    4. На что следует обратить внимание при разработке ЛНА, регламентирующего обработку персональных данных?

    Таких вопросов много, поэтому трудно было бы выделить только один или два аспекта, необходимо подробно остановиться на содержании документа и его обязательных частях (разделах).

    Во-первых , в самом тексте документа необходимо указать, что это локальный нормативный акт. Это означает, что работодатель должен учитывать требования, установленные ст. 8 ТК РФ, и не забывать, что нормы ЛНА не могут ухудшать положение работника по сравнению с нормами действующих законодательных и иных нормативных правовых актов, о которых мы говорили выше.

    Во-вторых , необходимо указать, что работодатель обрабатывает не только персональные данные работников, но также персональные данные соискателей, в случае если формирует так называемый кадровый резерв, включающий резюме понравившихся соискателей, посетивших собеседование, но по каким-то причинам не ставших работниками.

    Необходимо также указать, что работодатель продолжает осуществлять обработку (хранение) персональных данных работников и после их увольнения в течение установленного архивного срока хранения.

    В-третьих , необходимо обязательно ознакомить всех работников организации, включая временных, работающих по совместительству, заключивших ученический договор, с документом, регламентирующим обработку ПД, под подпись. Целесообразно включить листы ознакомления в состав документа, а сам текст ЛНА прошить, пронумеровать, на сшивке (склейке) скрепить подписью руководителя организации и печатью.

    В-четвертых , необходимо грамотно сформулировать согласие на обработку персональных данных, текст которого будет зависеть от целей их обработки.

    5. Какие персональные данные может обрабатывать работодатель?

    Работодатель не только может, но и должен осуществлять обработку персональных данных, так как обязан вести кадровую документацию, а также осуществлять хранение, иногда сроком 75 лет, определенной номенклатуры кадровых документов.

    Примерный состав персональных данных работника может включать:

    • фамилию, имя, отчество;
    • год, месяц, дату и место рождения;
    • адрес места жительства;
    • номер домашнего и сотового (мобильного) телефона;
    • сведения, содержащиеся в документах, предъявляемых при заключении трудового договора, к которым относятся, в частности: паспорт или иной документ, удостоверяющий личность, трудовая книжка, страховое свидетельство государственного пенсионного страхования, ИНН, документы об образовании и (или) квалификации или о наличии специальных знаний;
    • сведения, содержащиеся в документах воинского учета;
    • сведения, содержащиеся в документах о составе семьи, необходимых для предоставления работнику гарантий, связанных с выполнением семейных обязательств (например, для оплаты времени нетрудоспособности по листку временной нетрудоспособности, выданному работнику в связи с осуществлением ухода за больным членом семьи);
    • сведения, содержащиеся в документах, подтверждающих право работника на получение социальных льгот и/или подтверждающих право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (например, гарантии и компенсации участникам ликвидации аварии на Чернобыльской АЭС и т.п.);
    • сведения о предыдущем месте работы (например, при представлении работником справки 2-НДФЛ или аналогичных документов, необходимых для исчисления среднего заработка работника при оплате времени нетрудоспособности);
    • сведения о трудовом (страховом) и общем стаже работника;
    • занимаемую работником должность;
    • сведения о работнике, содержащиеся в документах кадрового учета, включая приказы, а также в личной карточке;
    • сведения об обучении работника, а также о пройденном повышении квалификации, переподготовке, аттестации, о результатах служебных проверок и расследований, проводимых работодателем;
    • сведения о привлечении работника к материальной ответственности;
    • сведения о состоянии здоровья работника, в том числе результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
    • сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования (если это является необходимым для осуществления работником трудовых обязанностей);
    • фотографию и иные сведения, относящиеся к биометрическим данным работника.

    6. Как работодатель вправе осуществлять получение ПД работника?

    Все ПД работника следует получать у него самого, причем с его письменного согласия. Обратите внимание: равнозначным содержащему собственноручную подпись письменному согласию работника на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой. Второй вариант подойдет, например, для заключения трудового договора с дистанционным работником, территориально удаленным от места нахождения работодателя.

    Бывают случаи, когда ПД сотрудника можно получить только у третьей стороны. Тогда он должен быть уведомлен об этом заранее и от него должно быть получено на это письменное согласие.

    Работодателю следует сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению данных (например, оформление запроса на прежнее место работы работника в целях выяснения его профессиональных качеств и т.п.) и последствиях отказа работника дать письменное согласие на их получение.

    Статья 65 ТК РФ устанавливает, что лицо, поступающее на работу, предъявляет работодателю определенный комплект документов. Они содержат определенные ПД работника, но не все, которые могут потребоваться в процессе реализации трудовых прав.

    Например, в выше упомянутом комплекте документов отсутствуют справки о заработной плате за последние 24 месяца, предшествующие дате трудоустройства. Работник вправе не представлять данные документы, так как ст. 65 ТК РФ прямо запрещает требовать от лица, поступающего на работу, документы помимо предусмотренных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.

    Однако, если работник рассчитывает на то, что исчисление сохраняемого за ним среднего заработка в период временной нетрудоспособности будет осуществлено с учетом предыдущего заработка, то он представит соответствующие документы. При их отсутствии размер пособия по временной нетрудоспособности в первые два года с момента трудоустройства будет очень низким.

    7. Какие персональные данные работодатель не имеет права обрабатывать?

    Работодатель не имеет права получать и обрабатывать ПД работника о его политических, религиозных и иных убеждениях и частной жизни, а также об участии работника в общественных объединениях. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель теоретически вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Однако нам не удалось смоделировать ситуацию, в которой работодатель будет вправе обрабатывать такие персональные данные в связи с трудовыми правоотношениями.

    8. Какие меры защиты ПД работодатель должен принимать?

    Работодатель при обработке ПД работника обязан принимать необходимые правовые, организационные и технические меры для защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. В частности, рекомендуется ограничить круг лиц, которым предоставляется доступ к ПД работника в связи с исполнением их трудовых обязанностей.

    В частности, такой доступ будет явно необходим сотрудникам отдела кадров, бухгалтерам, осуществляющим начисление и выплату заработной платы, непосредственному руководителю, специалисту по охране труда и некоторым другим. Перечень таких лиц, предпочтительно с указанием объема ПД, доступ к которым предоставляется, должен стать частью положения об обработке ПД или отдельным приложением к нему.

    При получении сведений, составляющих ПД работника, указанные лица должны иметь право получать только те данные, которые необходимы для выполнения конкретных функций и заданий. Лица, получающие доступ к любым ПД сотрудников, обязаны соблюдать режим секретности (конфиденциальности). Это означает запрет на копирование такой информации, ее несанкционированную передачу, иное распространение или разглашение любым третьим лицам, а также совершение иных незаконных действий.

    В трудовые договоры с такими сотрудниками целесообразно включить условие о недопустимости разглашения ПД как вовне, так и внутри организации лицам, не включенным в число имеющих доступ к персональным данным работников. Чаще всего совокупность ПД сотрудников образует базу данных, которая также нуждается в том, чтобы работодатель предпринимал меры по обеспечению ее сохранности.

    Работодатель должен также регламентировать правила хранения ПД работников на различных видах носителей. Рекомендуем предусмотреть хранение документов, содержащих ПД работников, на бумажных носителях в помещениях отдела кадров и бухгалтерии. Особые требования предъявляются в отношении хранения трудовых книжек и личных карточек. Личные дела, личные карточки работников и их трудовые книжки необходимо хранить в специально оборудованных несгораемых шкафах или сейфах, которые должны запираться и опечатываться.

    ПД работников в электронном виде, включая программное обеспечение, предназначенное для автоматизированной обработки ПД, а также базу данных (например, «1С: Зарплата и кадры», «Галактика», «Парус», SAP, иная аналогичная система для ведения кадрового учета), необходимо защищать, предоставляя доступ уполномоченным сотрудникам только при введении логина (личного идентификатора) и пароля доступа, обеспечивая таким образом ограничение доступа к ПД лицам, не уполномоченным законом, либо работодателем для получения соответствующих сведений.

    Для обеспечения безопасности ПД работников следует обратиться к постановлению Правительства РФ от 01.11.2012 № 1119, которым утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных.

    9. Каковы основные права и обязанности работника в связи с обработкой его ПД работодателем?

    Работник имеет право: на полную информацию о своих персональных данных и их обработку. Статья 89 ТК РФ устанавливает, что работник вправе получить полную информацию об обработке своих персональных данных. ЛНА, регламентирующий такую обработку, должен содержать информацию о том, какие персональные данные работников кем и с какой целью обрабатываются внутри организации.

    Но если сотрудник обратится к работодателю письменно, то последний должен указать, кто (как минимум должность), в каком объеме и с какой целью обрабатывает эти данные, если это не следует из самого текста ЛНА; на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей таковые, за исключением случаев, предусмотренных законодательством РФ. Например, если доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц (ч. 8 ст. 14 Закона № 152-ФЗ).

    Так, если кадровый документ содержит ПД нескольких лиц, доступ к нему одного из этих лиц возможен с согласия остальных. При отсутствии такого согласия работнику может быть предоставлена выписка из документа.

    Это же касается случаев, если кадровый документ содержит сведения, составляющие коммерческую, служебную, государственную тайну. Доступ к такому документу также может быть ограничен; на определение представителей для защиты своих персональных данных. Работник может выдать доверенность представителю, который вправе от его имени обращаться к работодателю, например, с досудебным требованием, – прекратить обработку ПД, уточнить ПД и с любым иным требованием, полномочия на которые переданы по соответствующей доверенности; требовать уточнения его персональных данных, блокирования или уничтожения, исправления неверных, устаревших или неполных ПД, а также данных, обработанных с нарушением требований, определенных трудовым законодательством.

    При отказе работодателя исключить или исправить ПД работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Работник, например, вправе требовать внести исправления в документ, в котором фамилия, имя или отчество работника напечатаны с ошибкой, или внести исправления в трудовую книжку в связи с изменением ПД, а также внести данные в личную карточку, скажем, в связи с рождением ребенка и т.п.; дополнить заявлением, выражающим собственную точку зрения работника, его персональные данные оценочного характера.

    Сюда относятся несогласие с характеристикой, результатами психологического тестирования, рекомендацией, выданной работнику при прохождении аттестации, и т.п.; требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПД работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его ПД.

    Работник обязан в случае изменения сведений, составляющих ПД работника (фамилия, имя, отчество, адрес, паспортные данные, сведения об образовании, состоянии здоровья (при выявлении противопоказаний для выполнения работы, обусловленной трудовым договором) и т.п.), незамедлительно предоставить данную информацию работодателю.

    10. Какие особенности обработки ПД работника следует учитывать?

    Следует иметь в виду, что закон устанавливает различные ограничения для работодателя в сфере обработки ПД. В частности, при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Например, выводы об опоздании или отсутствии работника на работе и последующем применении к работнику дисциплинарного взыскания в этой связи не могут быть сделаны работодателем только лишь на основании данных электронной проходной. Обязательно наличие иных свидетельств, будь то докладные, служебные записки, акты и пр.

    С этим также читают:


    В действующий ТК РФ впервые в истории трудового законодательства включена отдельная глава (14) «Защита персональных данных работника», состоящая из шести статей (85-90). Статья 85 ТК РФ формулирует два основных для данной главы понятия: персональные данные работника; обработка персональных данных работника. Персональные данные - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных - получение, хранение, комбинирование, передача или любое другое использование персональных данных работников.

    Структурное выделение в Трудовом кодексе РФ персональных данных вызвано необходимостью упорядочения отношении по получению и использованию работодателем информации о работнике личного характера и установления правил защиты этой информации от неправомерного использования. Положения данной главы основываются на Конституции РФ, согласно ст. 23 и 24 которой каждому человеку гарантируется право на неприкосновенность частной жизни, личную и семейную тайну, при этом сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

    Конституция РФ, в свою очередь, восприняла положения международных актов, согласно которым право на неприкосновенность частной жизни, личную тайну относятся к числу основных прав человека: Всеобщая декларация прав человека 1948 г. (ст. 12), Конвенция о защите прав человека и основных свобод (ст. 8), Международный пакт о гражданских и политических правах 1966 г. (ст. 9), Директива Европейского сообщества № 95/46/ЕС прямо определяет персональные данные как любую информацию, относящуюся к идентифицированному лицу или к лицу, которое может быть идентифицировано. Иными словами, указывается на «информацию об идентифицируемом лице», а не на «идентифицирующую информацию», как в российском Законе 1 Зайцева О.Б. Персональные данные работника и их передача работодателю в связи с трудовыми отношениями // Трудовое право. 2003. № 7. С. 18. .

    Следует обратить внимание на то, что определенные сведения о персональных данных работодатель имеет право требовать, а работник обязан их предоставить (ст. 65 ТК РФ; Постановление Госкомстата РФ от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», которым утверждена форма Личной карточки работника). Иные сведения можно получить только с согласия работника, что нередко важно для него самого в целях реализации прав (в том числе на льготы) и интересов; например, о членстве в профсоюзе, инвалидности, беременности. Работодатель не имеет права запрашивать информацию о состоянии здоровья работника за исключением тех сведений, которые относятся к возможности выполнения работником трудовой функции (ст. 88 ТК РФ).

    Общие требования к обработке персональных данных и гарантии их защиты закреплены в ст. 86 ТК РФ. Согласно ст. 87 ТК РФ защита персональных данных от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ или иными федеральными законами.

    Порядок хранения и использования персональных данных работников устанавливается самим работодателем с соблюдением требовании Трудового кодекса РФ и иных федеральных законов.

    Защита персональных данных предусмотрена законом как на стадии их получения (п. 8 ст. 86 ТК РФ), так и на стадии передачи (ст. 88 ТК РФ), хранения и использования (ст. 89 ТК РФ).

    Работники, которым в установленном законом порядке переданы сведения о персональных данных работника, обязаны не допускать их разглашения. В случае нарушения этого правила, когда сведения, составляющие врачебную, семейную и другую тайну, становятся достоянием других лиц, виновные несут за это ответственность.

    В советском трудовом законодательстве правовой регламентации подвергались отдельные аспекты защиты персональных данных работника. «Институт защиты персональных данных работника в ТК РФ был в значительной степени рецептирован из западного законодательства. Другой причиной, вызвавшей появление в ТК РФ гл. 14 «Защита персональных данных работника», стало изменение стратегического подхода к правам человека на уровне Конституции РФ, которая провозгласила права и свободы человека высшей ценностью, а признание, соблюдение и защиту прав человека и гражданина - обязанностью государства (ст. 2). «Этому способствовало и то, что с середины 90-х гг. XX в., как уже отмечалось, начала формироваться комплексная отрасль законодательства «информационное право», одним из основных направлений которой стала защита персональной тайны» 2 Лушников A.M. Защита персональных данных работника: сравнительно-правовой комментарий гл. 14 Трудового кодекса РФ // Трудовое право. 2009. № 9. С. 93-101; № 10. С. 77-82. .

    Действующий Трудовой кодекс, как считают некоторые авторы, «с одной стороны, содержит требование уважать неприкосновенность личной сферы работника, но, с другой стороны, не содержит и запрет работодателю тотально "мониторить" работника» 3 Киселев А.В. Трудовой кодекс России в свете европейской Конвенции о защите прав человека и основных свобод. Подготовлен для системы «КонсультантПлюс» по состоянию на 1 ноября 2010 г. .

    К числу нормативных актов, входящих в правовую базу регламентации отношении по защите персональных данных работника, относятся также Федеральный закон РФ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации», Налоговый кодекс РФ (ст. 24), Федеральный закон РФ от 27 июля 2006 г. «О персональных данных». Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 6 марта 1997 г., и другие нормативные правовые акты, касающиеся отдельных категорий работников, например. Федеральный закон о государственной гражданской службе Российской Федерации от 27 июля 2004 г.

    Между работником и работодателем складывается особое правоотношение в рамках единого трудового правоотношения по поводу информации, содержащей персональные данные работника, позволяющие идентифицировать его в качестве такового. Отсюда следует, что работодатель имеет не только обязанности, о которых говорилось выше, но и право на получение определенной информации о работнике, объем которой предусмотрен федеральным законодательством, указами Президента РФ, постановлениями Правительства РФ. Соответственно, у работника возникает обязанность представить такую информацию, которая должна быть полной и достоверной. Согласно ТК РФ (ст. 86) порядок обработки персональных данных, а также права и обязанности работников регламентируются локальными нормативными актами. Развивая эту мысль, выскажем следующие соображения.

    Действительно, с развитием соответствующего законодательства отношения в сфере конфиденциальной информации все более приобретают некий обособленный, самостоятельный и, как представляется, межотраслевой характер. Имея в виду, прежде всего и главным образом, трудовое право, нельзя не заметить, что применительно к его сложному и неоднородному предмету, эти так называемые информационные отношения могут входить в состав как индивидуального трудового правоотношения (уместно вспомнить характерное название ст. 5 Закона «Об информации...»: «Информация как объект правовых отношении»), так и, очевидно, быть самостоятельным видом отношений, связанных с ним.

    Информационное отношение «встроено» в трудовое как его элементарная часть, потому что между работником и работодателем существуют как отношения по персональным данным работника, так и отношения, связанные с государственной, служебной, коммерческой тайной, которые могут составлять основное содержание трудовой функции. Что касается информационных отношений как самостоятельного вида отношений, связанных с трудовыми (наряду с отношениями по трудоустройству у данного работодателя, социальному партнерству и др.), то в пользу такой идеи говорит элементарный анализ состава этого правоотношения.

    На уровне Федерального закона «О персональных данных» и в целях его применения впервые в отечественной практике определены следующие основные понятия:

    • персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
    • оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
    • обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
    • распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
    • использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
    • информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
    • конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания 4 Богатыренко З.С. Новейшие тенденции защиты персональных данных работник в российском трудовом праве // Трудовое право. 2006. № 10. .

    Федеральным законом «О персональных данных» регулируются отношения, связанные с их обработкой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без их использования, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

    Права граждан в области информации защищены Федеральными законами: ст. 81 ТК РФ, 237 УК РФ, 495, 498, 726, 732, 774, 804, 840, 853, 1031, 1032 и другими ГК РФ, регламентирующими вопросы предоставления различной информации покупателю о товаре. Кроме вопросов предоставления информации, ГК РФ регулирует отношения, связанные с конфиденциальностью информации, отношения по поводу возмещения вреда, причиненного вследствие недостоверной или недостаточной информации о товаре (работе, услуге) в случаях приобретения товара (выполнения работы, оказания услуги) в потребительских целях и возмещением убытков, вызванных разглашением служебной или коммерческой тайны.

    Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», как выше уже говорилось, к основным обязанностям гражданского служащего отнесено требование не разглашать сведения, составляющие государственную или иную охраняемую федеральным законом тайну, а также сведения, ставшие ему известными в связи с исполнением должностных обязанностей, в том числе сведения, касающиеся частной жизни и здоровья граждан или затрагивающие их честь и достоинство (ст. 15).

    Квалификационный справочник должностей руководителей, специалистов и других служащих (КСДС), разработанный Институтом труда и утвержденный постановлением Минтруда РФ от 21 августа 1998 г. № 37 (действующий с дополнениями и изменениями в ред. от 14.03.201 1), предусматривает, во-первых, что этот нормативный акт предназначен для решения вопросов, связанных с регулированием трудовых отношений, обеспечением эффективной системы управления персоналом организаций независимо от форм собственности и организационно-правовых форм деятельности. Во-вторых, предусмотрена регламентация трудовых функций специалистов, непосредственно связанных с использованием персональных данных работников или выполнением работ на их основе. К таким должностям относятся: заместитель директора но управлению персоналом, начальник отдела кадров, менеджер по персоналу, главный специалист по защите информации и др. 5 Бюллетень Минтруда РФ. 1998. № 12; Квалификационный справочник должностей руководителей, специалистов и других служащих. Изд-е офиц. 4-е изд., доп. М.: Инст. Труда, 2005. Данные положения имеют значение для рассматриваемого вопроса, поскольку права и обязанности по сохранению конфиденциальной информации могут входить в содержание трудовой функции.

    Обработка персональных данных должна осуществляться на основе принципов:

    • законности целей и способов обработки персональных данных и добросовестности;
    • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
    • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
    • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
    • недопустимости объединения созданных для несовместимых между собой баз данных информации.

    Ответим на вопрос, что относится к персональным данным работника организации. Согласно ст. 3 , персональные данные работника это любые сведения о нем.

    Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

    Судебная практика

    При проведении проверки соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании незаконным данного предписания Роскомнадзора.

    Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ . (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013)

    Образец заявления на обработку персональных данных работника

    В соответствии с п. 1 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка фирмой-работодателем таких данных может производиться только при соблюдении ряда условий. В числе таковых — согласие субъекта персональных данных на передачу сведений о себе в обработку (подп. 1 п. 1 ст. 6 закона № 152-ФЗ). Оно оформляется в виде согласия на обработку персональных данных. Кроме того, гражданин может дать согласие оператору на предоставление его сведений третьим лицам.

    Физическое лицо вправе отозвать свое согласие, для этого составляется заявление об отзыве.

    В соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным , срок хранения персональных данных работника составляет 75 лет.

    Обработка персональных данных

    В организации необходимо разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки информации о работниках. Каждый сотрудник должен быть ознакомлен с этим документом под роспись.

    Судебная практика

    Прокурор обратился в суд с иском о понуждении организации к разработке и принятию локального правового акта, устанавливающего порядок хранения и использования персональных данных работников. Свои требования мотивировал тем, что в ходе проверки исполнения законодательства, регламентирующего сбор, хранение, использование или распространение персональных данных, было установлено, что в нарушение требований трудового законодательства порядок хранения и использования персональных данных работников в организации не разработан. Полагал, что отсутствие данного локальный нормативного акта может привести к неправомерному доступу к персональным данным не уполномоченных на то лиц.

    Решением суда требование прокурора было удовлетворено. Суд обязал организацию разработать и принять локальный правовой акт, устанавливающий порядок хранения и использования персональных данных работников в течение 30 дней с момента вступления решения суда в законную силу.

    Передача персональных данных работника другому лицу допускается только с согласия этого работника, за исключением случаев, установленных законом. Так, например, работодатель вправе передавать сведения о работнике по официальным запросам суда, прокуратуры, органов следствия и дознания.

    Обратите внимание, что сообщать какую-либо информацию о сотруднике по телефону недопустимо.

    Судебная практика

    Д. обратился в суд с иском о признании незаконным передачи работодателем его персональных данных другому лицу, взыскании морального вреда.

    В судебном заседании было установлено, что организация, в которой работал Д., заключила договор с банком для реализации зарплатного проекта. Для выпуска пластиковых карт банку были переданы заполненные и подписанные работниками анкеты-заявления с их личными данными. Анкета-заявление Д. им подписана не была, согласие на передачу своих персональных данных он не давал.

    Исковые требования судом были удовлетворены, несмотря на то, что полученной пластиковой карточкой Д. активно пользовался.

    Когда за разглашение информации могут уволить

    Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Об этом прямо указано в п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ . К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных. Однако если работник узнал данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации) и в его должностные обязанности не входит работа с личными сведениями, увольнение по данному основанию будет являться незаконным.

    Увольнение по этому основанию является мерой дисциплинарного воздействия, поэтому при его осуществлении следует соблюдать порядок наложения дисциплинарного взыскания, предусмотренный ст.193 ТК РФ .

    В случае оспаривания работником увольнения по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые трудящийся разгласил, относятся к личным данным другого сотрудника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей, и он обязывался не разглашать такие сведения (п.43 Постановления Пленума ВС РФ «О применении судами РФ Трудового кодекса РФ»).

    Судебная практика

    Н. обратился в суд с иском о признании увольнении незаконным, возмещении морального вреда.

    В судебном заседании было установлено, что Н. работал электромонтером и был вызван в отдел кадров для устранения порыва телефонного кабеля. Во время починки кабеля он успел прочитать соглашение об увольнении работника М. с выплатой значительной денежной компенсации, которое кадровик оставила без присмотра на своем рабочем столе. На следующий день Н. обратился к директору, заявив, что он тоже хочет уволиться по соглашению сторон с такой же денежной компенсацией. А получив отказ, обиделся и стал рассказывать об этой ситуации другим работникам. В результате приказом директора Н. был уволен по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных другого работника.

    Решением суда исковые требования Н. были удовлетворены. Суд пришел к выводу, что в трудовые обязанности Н. работа с личными данными других сотрудников не входила, и данные сведения стали ему известны в результате халатности кадровика, который не обеспечил сохранность информации.



    Просмотров