Полезно знать! ТОП-10 вопросов работодателя о персональных данных

Заключая трудовые договоры с работниками, и даже еще раньше – при осуществлении подбора сотрудников – работодатель обрабатывает персональные данные (ПД). На первый взгляд все просто: обязанность уведомительной регистрации в Роскомнадзоре отсутствует, но работодатель все равно является оператором персональных данных, а значит должен учитывать множество глобальных вопросов и даже нюансов, связанных с обработкой и защитой персональных данных, которые имеют важное значение.

1. Каковы законодательные требования к обработке ПД, которые необходимо учитывать работодателю?

Начать следует с международно-правовых норм. Российская Федерация ратифицировала*(1) Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28.01.1981) (далее – Конвенция), которая вступила в силу для нашей страны с 1 сентября 2013 года.

Статья 24 Конституции Российской Федерации устанавливает запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ), являющийся основным законодательным актом в этой сфере правового регулирования, базируется на тех же, что и Конвенция, основных принципах. Однако имеет свои особенности, например, устанавливает нашумевшую и широко обсуждавшуюся в СМИ в прошлом году обязанность оператора осуществлять хранение персональных данных российских граждан на территории РФ.

Глава 14 ТК РФ конкретизирует особенности защиты персональных данных применительно к работникам. Следует также учитывать и применять действующие нормативные правовые акты в сфере обработки персональных данных, например, постановление Правительства РФ от 01.11.2012 N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных” и другие.

2. Какая ответственность может грозить работодателю за нарушения в сфере обработки ПД?

Статья 13.11 КоАП РФ в настоящий момент содержит всего один общий состав, предусматривающий одинаковую ответственность за любое нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Размер штрафа для юридических лиц может колебаться от 5000 до 10 000 рублей. Данное наказание является малозначительным, давно не соответствует тяжести административного правонарушения и не обеспечивает превентивной функции, что в итоге приводит к массовому игнорированию требований действующего законодательства и к нарушениям в процессе их обработки.

Однако уже с 1 июля 2017 года ситуация изменится: в КоАП РФ внесены соответствующие изменения, благодаря которым в ст. 13.11 появятся новые составы административных правонарушений, а также увеличится размер штрафа*(2).

В отдельные составы правонарушения будут выделены обработка ПД в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора персональных данных (ч. 1 ст. 13.11 КоАП РФ*(3)). Должностное лицо будет оштрафовано по этой норме на сумму от 5000 до 10 000 рублей, а организация – от 30 000 до 50 000 рублей.

Самостоятельный состав будет образовывать обработка ПД без письменного согласия их субъекта (работника) либо обработка ПД с нарушением требований к составу сведений, включаемых в письменное согласие (ч. 2 ст. 13.11 КоАП РФ). Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации – от 15 000 до 75 000 рублей.

Оператора ПД (работодателя) теперь накажут также за невыполнение обязанности по предоставлению субъекту ПД информации, касающейся их обработки (ч. 4 ст. 13.11 КоАП РФ). Ответственный сотрудник может быть оштрафован за такое нарушение на сумму от 4000 до 6000 рублей, индивидуальный предприниматель как работодатель – от 10 000 до 15 000 рублей, организация – от 20 000 до 40 000 рублей.

Ответственность наступит и если оператор нарушит требования работника об уточнении ПД, их блокировании или уничтожении в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 5 ст. 13.11 КоАП РФ). Должностное лицо может быть оштрафовано на сумму от 4000 до 10 000 рублей, индивидуальный предприниматель – от 10 000 до 20 000 рублей, юридическое лицо – от 25 000 до 45 000 рублей.

Остальные появившиеся составы административного правонарушения работодателей коснуться не должны.

Как видите, максимальный размер штрафа для юридических лиц предусмотрен ч. 2 ст. 13.11 КоАП РФ и может составить до 75 000 рублей. А учитывая последнюю практику проверяющих органов, когда за каждое выявленное в ходе одной проверки нарушение налагается отдельный штраф, – общая сумма наказания может быть довольно существенной.

3. Является ли наличие специального положения о работе с ПД обязательным для работодателя?

Пункт 8 ч. 1 ст. 86 ТК РФ устанавливает, что работники и их представители должны быть ознакомлены под личную подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Таким образом, законодатель устанавливает обязательность наличия такого документа.

Указанные вопросы возможно включить отдельным разделом в ПВТР. Допустимо также составление отдельного документа с любым названием, соответствующим документообороту организации. Это могут быть регламент, положение, правила. Каждый из этих документов будет локальным нормативным актом (ЛНА).

4. На что следует обратить внимание при разработке ЛНА, регламентирующего обработку персональных данных?

Таких вопросов много, поэтому трудно было бы выделить только один или два аспекта, необходимо подробно остановиться на содержании документа и его обязательных частях (разделах).

Во-первых, в самом тексте документа необходимо указать, что это локальный нормативный акт. Это означает, что работодатель должен учитывать требования, установленные ст. 8 ТК РФ, и не забывать, что нормы ЛНА не могут ухудшать положение работника по сравнению с нормами действующих законодательных и иных нормативных правовых актов, о которых мы говорили выше.

Во-вторых, необходимо указать, что работодатель обрабатывает не только персональные данные работников, но также персональные данные соискателе, в случае если формирует так называемый кадровый резерв, включающий резюме понравившихся соискателей, посетивших собеседование, но по каким-то причинам не ставших работниками. Необходимо также указать, что работодатель продолжает осуществлять обработку (хранение) персональных данных работников и после их увольнения в течение установленного архивного срока хранения.

В-третьих, необходимо обязательно ознакомить всех работников организации, включая временных, работающих по совместительству, заключивших ученический договор, с документом, регламентирующим обработку ПД, под подпись. Целесообразно включить листы ознакомления в состав документа, а сам текст ЛНА прошить, пронумеровать, на сшивке (склейке) скрепить подписью руководителя организации и печатью.

В-четвертых, необходимо грамотно сформулировать согласие на обработку персональных данных, текст которого будет зависеть от целей их обработки.

5. Какие персональные данные может обрабатывать работодатель?

Работодатель не только может, но и должен осуществлять обработку персональных данных, так как обязан вести кадровую документацию, а также осуществлять хранение, иногда сроком 75 лет, определенной номенклатуры кадровых документов.

Примерный состав персональных данных работника может включать:

  • фамилию, имя, отчество;
  • год, месяц, дату и место рождения;
  • адрес места жительства;
  • номер домашнего и сотового (мобильного) телефона;
  • сведения, содержащиеся в документах, предъявляемых при заключении трудового договора, к которым относятся, в частности: паспорт или иной документ, удостоверяющий личность, трудовая книжка, страховое свидетельство государственного пенсионного страхования, ИНН, документы об образовании и (или) квалификации или о наличии специальных знаний;
  • сведения, содержащиеся в документах воинского учета;
  • сведения, содержащиеся в документах о составе семьи, необходимых для предоставления работнику гарантий, связанных с выполнением семейных обязательств (например, для оплаты времени нетрудоспособности по листку временной нетрудоспособности, выданному работнику в связи с осуществлением ухода за больным членом семьи);
  • сведения, содержащиеся в документах, подтверждающих право работника на получение социальных льгот и/или подтверждающих право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (например, гарантии и компенсации участникам ликвидации аварии на Чернобыльской АЭС и т.п.);
  • сведения о предыдущем месте работы (например, при представлении работником справки 2-НДФЛ или аналогичных документов, необходимых для исчисления среднего заработка работника при оплате времени нетрудоспособности);
  • сведения о трудовом (страховом) и общем стаже работника;
  • занимаемую работником должность;
  • сведения о работнике, содержащиеся в документах кадрового учета, включая приказы, а также в личной карточке;
  • сведения об обучении работника, а также о пройденном повышении квалификации, переподготовке, аттестации, о результатах служебных проверок и расследований, проводимых работодателем;
  • сведения о привлечении работника к материальной ответственности;
  • сведения о состоянии здоровья работника, в том числе результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
  • сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования (если это является необходимым для осуществления работником трудовых обязанностей);
  • фотографию и иные сведения, относящиеся к биометрическим данным работника.

6. Как работодатель вправе осуществлять получение ПД работника?

Все ПД работника следует получать у него самого, причем с его письменного согласия. Обратите внимание: равнозначным содержащему собственноручную подпись письменному согласию работника на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой. Второй вариант подойдет, например, для заключения трудового договора с дистанционным работником, территориально удаленным от места нахождения работодателя.

Бывают случаи, когда ПД сотрудника можно получить только у третьей стороны. Тогда он должен быть уведомлен об этом заранее и от него должно быть получено на это письменное согласие. Работодателю следует сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению данных (например, оформление запроса на прежнее место работы работника в целях выяснения его профессиональных качеств и т.п.) и последствиях отказа работника дать письменное согласие на их получение.

Статья 65 ТК РФ устанавливает, что лицо, поступающее на работу, предъявляет работодателю определенный комплект документов. Они содержат определенные ПД работника, но не все, которые могут потребоваться в процессе реализации трудовых прав. Например, в выше упомянутом комплекте документов отсутствуют справки о заработной плате за последние 24 месяца, предшествующие дате трудоустройства. Работник вправе не представлять данные документы, так как ст. 65 ТК РФ прямо запрещает требовать от лица, поступающего на работу, документы помимо предусмотренных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ. Однако если работник рассчитывает на то, что исчисление сохраняемого за ним среднего заработка в период временной нетрудоспособности будет осуществлено с учетом предыдущего заработка, то он представит соответствующие документы. При их отсутствии размер пособия по временной нетрудоспособности в первые два года с момента трудоустройства будет очень низким.

7. Какие персональные данные работодатель не имеет права обрабатывать?

Работодатель не имеет права получать и обрабатывать ПД работника о его политических, религиозных и иных убеждениях и частной жизни, а также об участии работника в общественных объединениях.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель теоретически вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Однако нам не удалось смоделировать ситуацию, в которой работодатель будет вправе обрабатывать такие персональные данные в связи с трудовыми правоотношениями.

8. Какие меры защиты ПД работодатель должен принимать?

Работодатель при обработке ПД работника обязан принимать необходимые правовые, организационные и технические меры для защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

В частности, рекомендуется ограничить круг лиц, которым предоставляется доступ к ПД работника в связи с исполнением их трудовых обязанностей. В частности, такой доступ будет явно необходим сотрудникам отдела кадров, бухгалтерам, осуществляющим начисление и выплату заработной платы, непосредственному руководителю, специалисту по охране труда и некоторым другим. Перечень таких лиц, предпочтительно с указанием объема ПД, доступ к которым предоставляется, должен стать частью положения об обработке ПД или отдельным приложением к нему. При получении сведений, составляющих ПД работника, указанные лица должны иметь право получать только те данные, которые необходимы для выполнения конкретных функций и заданий.

Лица, получающие доступ к любым ПД сотрудников, обязаны соблюдать режим секретности (конфиденциальности). Это означает запрет на копирование такой информации, ее несанкционированную передачу, иное распространение или разглашение любым третьим лицам, а также совершение иных незаконных действий.

В трудовые договоры с такими сотрудниками целесообразно включить условие о недопустимости разглашения ПД как вовне, так и внутри организации лицам, не включенным в число имеющих доступ к персональным данным работников.

Чаще всего совокупность ПД сотрудников образует базу данных, которая также нуждается в том, чтобы работодатель предпринимал меры по обеспечению ее сохранности. Работодатель должен также регламентировать правила хранения ПД работников на различных видах носителей. Рекомендуем предусмотреть хранение документов, содержащих ПД работников, на бумажных носителях в помещениях отдела кадров и бухгалтерии. Особые требования предъявляются в отношении хранения трудовых книжек и личных карточек. Личные дела, личные карточки работников и их трудовые книжки необходимо хранить в специально оборудованных несгораемых шкафах или сейфах, которые должны запираться и опечатываться. ПД работников в электронном виде, включая программное обеспечение, предназначенное для автоматизированной обработки ПД, а также базу данных (например, “1С: Зарплата и кадры”, “Галактика”, “Парус”, SAP, иная аналогичная система для ведения кадрового учета), необходимо защищать, предоставляя доступ уполномоченным сотрудникам только при введении логина (личного идентификатора) и пароля доступа, обеспечивая таким образом ограничение доступа к ПД лицам, не уполномоченным законом либо работодателем для получения соответствующих сведений.

Для обеспечения безопасности ПД работников следует обратиться к постановлению Правительства РФ от 01.11.2012 N 1119, которым утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных.

9. Каковы основные права и обязанности работника в связи с обработкой его ПД работодателем?

Работник имеет право:

1) на полную информацию о своих персональных данных и их обработку. Статья 89 ТК РФ устанавливает, что работник вправе получить полную информацию об обработке своих персональных данных. ЛНА, регламентирующий такую обработку, должен содержать информацию о том, какие персональные данные работников кем и с какой целью обрабатываются внутри организации. Но если сотрудник обратится к работодателю письменно, то последний должен указать, кто (как минимум должность), в каком объеме и с какой целью обрабатывает эти данные, если это не следует из самого текста ЛНА;

2) на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей таковые, за исключением случаев, предусмотренных законодательством РФ. Например, если доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц (ч. 8 ст. 14 Закона N 152-ФЗ). Так, если кадровый документ содержит ПД нескольких лиц, доступ к нему одного из этих лиц возможен с согласия остальных. При отсутствии такого согласия работнику может быть предоставлена выписка из документа. Это же касается случаев, если кадровый документ содержит сведения, составляющие коммерческую, служебную, государственную тайну. Доступ к такому документу также может быть ограничен;

3) на определение представителей для защиты своих персональных данных. Работник может выдать доверенность представителю, который вправе от его имени обращаться к работодателю, например, с досудебным требованием, – прекратить обработку ПД, уточнить ПД и с любым иным требованием, полномочия на которые переданы по соответствующей доверенности;

4) требовать уточнения его персональных данных, блокирования или уничтожения, исправления неверных, устаревших или неполных ПД, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе работодателя исключить или исправить ПД работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Работник, например, вправе требовать внести исправления в документ, в котором фамилия, имя или отчество работника напечатаны с ошибкой, или внести исправления в трудовую книжку в связи с изменением ПД, а также внести данные в личную карточку, скажем, в связи с рождением ребенка и т.п.;

5) дополнить заявлением, выражающим собственную точку зрения работника, его персональные данные оценочного характера. Сюда относятся несогласие с характеристикой, результатами психологического тестирования, рекомендацией, выданной работнику при прохождении аттестации, и т.п.;

6) требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПД работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

7) обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его ПД.

Работник обязан в случае изменения сведений, составляющих ПД работника (фамилия, имя, отчество, адрес, паспортные данные, сведения об образовании, состоянии здоровья (при выявлении противопоказаний для выполнения работы, обусловленной трудовым договором) и т.п.), незамедлительно предоставить данную информацию работодателю.

10. Какие особенности обработки ПД работника следует учитывать?

Следует иметь в виду, что закон устанавливает различные ограничения для работодателя в сфере обработки ПД. В частности, при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Например, выводы об опоздании или отсутствии работника на работе и последующем применении к работнику дисциплинарного взыскания в этой связи не могут быть сделаны работодателем только лишь на основании данных электронной проходной. Обязательно наличие иных свидетельств, будь то докладные, служебные записки, акты и пр.

─────────────────────────────────────────────────────────────────────────

*(1) Федеральный закон от 19.12.2005 N 160-ФЗ “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных”.

*(2) Изменения внесены Федеральным законом от 07.02.2017 N 13-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях”.

*(3) Здесь и далее ссылка на норму ст. 13.11 КоАП РФ будет указана согласно новой редакции, которая вступил в силу с 01.07.2017.

ГАРАНТ.ру

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *