Акции Новости бухгалтеру
0
Оформить заказ

Заявка на бесплатный номер

Вы хотите познакомиться с изданиями Аюдар Инфо ближе? Введите свои данные, выберите интересный вам журнал и бесплатный номер скоро станет ваш. Обращаем ваше внимание, что воспользоваться заявкой вы можете только один раз. Спасибо за выбор Аюдар Инфо!

Персональные данные работника.

Персональные данные работника.

 

Уже давно у работодателей не возникает сомнений, что они не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение, поскольку недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована Конституцией РФ. Ранее в ст. 85 ТК РФ давалось определение персональных данных работника – под ними понималась информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Однако эта статья была отменена и сейчас под персональными данными работника следует понимать любые данные работника как физического лица. Напомним работодателям, какие обязанности установлены для них по обработке, хранению и защите персональных данных работников и какая ответственность может наступить за невыполнение этих обязанностей.

 

 

Персональные данные работника и документы, их содержащие.

 

Основным нормативным актом, регламентирующим отношения, связанные с обработкой персональных данных юридическими и физическими лицами, является Федеральный закон от 27.06.2006 № 152‑ФЗ «О персональных данных» (далее – Закон № 152‑ФЗ). Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.

Защите персональных данных работника посвящена и гл. 14 ТК РФ, которой установлены общие требования к обработке этих данных и гарантии их защиты, порядок передачи данных работника третьим лицам и права работников на защиту их персональных данных, хранящихся у работодателя.

Определение персональных данных работника есть в ст. 3 Закона № 152‑ФЗ – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Законом № 152‑ФЗ установлены разновидности персональных данных – специальные категории сведений о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни и биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность) (ст. 10, 11).

Поскольку ни Трудовым кодексом, ни Законом № 152‑ФЗ не установлено, какие конкретно данные относятся к персональным, в качестве примерного можно использовать перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста РФ от 21.03.2013 № 36[1]. Перечислим основные персональные данные работника, включенные в этот перечень, кроме тех, что имеют непосредственное отношение к государственной службе (сведения о доходах, о пребывании за границей и т. д.):

  • фамилия, имя, отчество, дата и место рождения;
  • образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);
  • послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов);
  • выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т. п.);
  • адрес регистрации и фактического проживания;
  • паспорт (серия, номер, кем и когда выдан);
  • номер телефона;
  • отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
  • идентификационный номер налогоплательщика;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • наличие (отсутствие) судимости;
  • наличие (отсутствие) заболевания, препятствующего приему на определенную должность подтвержденное заключением медицинского учреждения;
  • результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования.

Что касается документов, содержащих персональные данные работника, к ним, в первую очередь, относятся паспорт или другой документ, удостоверяющий личность, анкеты, заполняемые при трудоустройстве, трудовая книжка, личная карточка работника по форме Т-2, документы воинского учета, обязательного пенсионного страхования, документы об образовании, о составе семьи, трудовой договор, справка о доходах с предыдущего места работы, медицинские заключения, свидетельства о заключении брака, рождении ребенка. У работодателя хранятся копии этих документов, за исключением анкет, трудовых книжек и личных карточек.

Все документы, содержащие персональные данные работников, подлежат хранению и защите работодателем в соответствии с требованиями законодательства.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных работника (справочники, адресные книги). В них с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные сообщаемые им данные. При этом сведения о субъекте персональных данных должны быть исключены по его требованию либо по решению суда или иных уполномоченных государственных органов (ст. 8 Закона № 152‑ФЗ).

 

 

 

Обработка персональных данных работника.


 

Любое действие, совершаемое работодателем с персональными данными работников с использованием средств автоматизации или без использования таковых, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение, называется одним словом – обработка персональных данных работника (ст. 3 Закона № 152‑ФЗ).

 Согласие на обработку персональных данных работника может быть отозвано их субъектом. Однако в случаях, установленных Законом № 152‑ФЗ, обработка может осуществляться и без согласия работника.

Обработка персональных данных работника осуществляется с согласия работника, и получить такое согласие нужно, не откладывая «в долгий ящик», – при приеме на работу. Согласно ст. 9 Закона № 152‑ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Оно может быть дано работником (его представителем) в любой позволяющей подтвердить факт его получения форме (письменной, в форме электронного документа, подписанного в соответствии с Федеральным законом от 06.04.2011 № 63‑ФЗ «Об электронной подписи» электронной подписью), если иное не установлено федеральным законом. Случаи, когда согласие может оформляться в форме электронного документа, должны быть установлены федеральными законами, но пока таких нормативных актов нет.

Письменное согласие субъекта на обработку персональных данных работника должно включать в себя, в частности:

  • ФИО и адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • ФИО и адрес представителя, реквизиты документа, удостоверяющего его личность, и доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование или фамилию, имя, отчество и адрес работодателя (индивидуального предпринимателя);
  • цель обработки персональных данных работника;
  • перечень персональных данных работника, на обработку которых дается согласие их субъекта;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных работника по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными работника, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных работника;
  • срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись работника.

Не допускается запрашивать у работника информацию о его состоянии здоровья, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

В статье 86 ТК РФ перечислены общие требования к обработке персональных данных работника работодателем. Так, установлено, что обработка должна осуществляться в целях обеспечения соблюдения законодательства, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Объем и содержание обрабатываемых данных определяется в соответствии с Конституцией РФ, Трудовым кодексом и иными федеральными законами. При этом работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных работника, а также данные о членстве работника в общественных объединениях или о его профсоюзной деятельности – за исключением случаев, предусмотренных законодательством.

Все персональные данные работника следует получать от самого работника. Если же их можно получить только у третьей стороны, то работника нужно уведомить об этом заранее и получить от него письменное согласие. Кроме того, работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных работника, а также о характере подлежащих получению данных и последствиях отказа работника согласиться на их получение.

Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения, если принимает на их основе решения, затрагивающие интересы работника.

Порядок обработки персональных данных работника, а также права и обязанности работников в этой области работодатель устанавливает в локальном акте, с которым работники должны быть ознакомлены под роспись.

Меры по обеспечению безопасности персональных данных при их обработке установлены ст. 19 Закона № 152‑ФЗ. Требования к защите этих данных при их обработке в информационных системах установлены Постановлением Правительства РФ от 01.11.2012 № 1119, а Постановлением Правительства РФ от 15.09.2008 № 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

 

 

 

Хранение и использование персональных данных.

 

 

Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов.

При разработке локального акта, определяющего порядок обработки персональных данных работника, в том числе их хранения и использования, также можно руководствоваться упомянутым выше Постановлением № 687. В нем, например, говорится, что обработка персональных данных работника без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории данных можно было определить места их хранения (материальных носителей с ними) и установить перечень лиц, осуществляющих обработку данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных работника (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных работника и исключающие несанкционированный к ним доступ. Перечень мер для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются работодателем.

Особое внимание уделяется хранению документов, содержащих персональные данные работника, – трудовых книжек, личных дел сотрудников и личных карточек. Трудовые книжки и личные дела рекомендуется хранить в несгораемых шкафах, запирающихся на ключ и имеющих приспособление для опечатывания, или в сейфах. Доступ к ним должен иметь только кадровый работник или иное уполномоченное лицо.

Поскольку в процессе трудовой деятельности возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам, должен вестись их строгий учет. Для этого работодателю рекомендуется применять журналы учета, в которых указываются даты выдачи и возврата документов, наименование документа, срок пользования, цель выдачи, ФИО и должность лица, получившего документ с персональными данными работника.

Персональные данные работника сообщаются в коммерческих целях или третьей стороне только с его письменного согласия – за исключением случаев, когда это необходимо в целях предупреждения угрозы его жизни и здоровью, а также случаев, предусмотренных Трудовым кодексом или иными федеральными законами (ст. 87 ТК РФ).

В силу ст. 87 ТК РФ, если персональные данные работника были переданы третьим лицам, работодатель вправе требовать от этих лиц подтверждения, что полученные данные будут использованы только в целях, для которых они были получены.

Если данные передаются в пределах одной организации, у одного индивидуального предпринимателя, порядок такой передачи должен быть установлен локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами, при этом они имеют право получать лишь те данные работника, которые необходимы для выполнения конкретных функций.

 

 

 

Защита персональных данных работника.


 

В силу ст. 86 ТК РФ меры по защите вырабатываются совместно работниками и их представителями и работодателем. При этом работодатель за счет собственных средств обеспечивает защиту персональных данных от их неправомерного использования или утраты. В свою очередь, работники имеют определенные права в целях обеспечения защиты персональных данных, хранящихся у работодателя, установленные ст. 89 ТК РФ, в частности:

  • на полную информацию об их персональных данных и обработке этих данных;
  • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, их содержащей, за исключением случаев, предусмотренных федеральным законом (ограничения в доступе установлены ч. 8 ст. 14 Закона № 152‑ФЗ);
  • на определение своих представителей для защиты своих персональных данных;
  • на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
  • на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия;
  • на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите этих данных.

В целях защиты персональных данных со стороны работодателя он должен, в первую очередь, обеспечить их хранение. При этом для документов, содержащих эти данные, должны быть использованы технические средства охраны, а для данных, хранящихся в информационных системах, – программные средства защиты информации. Кроме этого, следует ограничить круг работников, имеющих доступ к такой информации. Перечень таких лиц желательно установить локальным актом и оформить с ними обязательство о неразглашении персональных данных. Работодателю также следует создавать необходимые условия для работы с персональными данными (выделять отдельные помещения, обновлять программные средства защиты информации и т. д.).

Работник, имеющий доступ к персональным данным, может быть уволен за разглашение данных другого работника по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ, если получил эти данные в процессе исполнения трудовых обязанностей (п. 43 Постановления Пленума ВС РФ от 17.03.2004 № 2).

 

 

 

Нарушение законодательства о персональных данных: ответственность.


 

 

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работника, в силу ст. 90 ТК РФ могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности.

Одним из видов дисциплинарной ответственности, как уже было отмечено, является увольнение работника, разгласившего персональные данные другого работника, по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ.

Материальная и гражданско-правовая ответственность заключается в возмещении субъекту персональных данных имущественного и морального вреда.

При этом, как говорится в ст. 24 Закона № 152‑ФЗ, моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки данных, а также требований к их защите, подлежит возмещению в соответствии с законодательством РФ независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Должностные лица, в том числе отвечающие за обработку персональных данных работника, и сама организация могут быть привлечены к административной ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ) и за разглашение информации с ограниченным доступом (ст. 13.14 КоАП РФ).

Кроме этого, должностное лицо организации может быть привлечено к ответственности за неправомерный отказ в предоставлении информации гражданину и (или) организации, за ее несвое­временное предоставление либо предоставление заведомо недостоверной информации (ст. 5.39 КоАП РФ). При этом за аналогичное правонарушение предусмотрена и уголовная ответственность по ст. 140 УК РФ.

Уголовная ответственность также установлена ст. 137 УК РФ за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия и ст. 272 УК РФ за неправомерный доступ к компьютерной информации.

Говоря об административной ответственности, следует отметить, что в настоящее время штрафы за нарушение законодательства РФ о персональных данных, прямо скажем, небольшие. Размер штрафа, налагаемого на должностное лицо, например, по ст. 13.11 КоАП РФ, составляет от 500 до 1 000 руб., а на юридическое лицо от 5 000 до 10 000 руб. Однако на момент подготовки нашего материала на рассмотрении в Государственной Думе находится законопроект, устанавливающий новую редакцию ст. 13.11.

Предлагается выделить несколько составов административных правонарушений в этой сфере и увеличить размер штрафов, налагаемых за нарушение законодательства о персональных данных.

В частности, проведение обработки таких данных с нарушением требований законодательства к составу сведений, включаемых в письменное согласие на обработку персональных данных, преду­сматривает штраф для должностных лиц до 8 000 руб., для индивидуальных предпринимателей до 25 000 руб., а для юридических лиц до 50 000 руб.

А ответственность за такой состав правонарушения, как проведение обработки персональных данных без согласия их субъекта (субъектов) и в отсутствие иных условий, установленных законодательством, предполагает для должностных лиц штраф в размере до 15 000 руб., для индивидуальных предпринимателей до 35 000 руб., для юридических лиц до 50 000 руб.

 

* * *

 

В заключение еще раз обращаем внимание, что работодателю не стоит пренебрегать обязанностями, установленными для него в сфере обработки и защиты персональных данных. Причем во многих организациях это касается данных не только их сотрудников, но и иных лиц (клиентов, посетителей и т. д.), поскольку за разглашение персональных данных, полученных от кого угодно, виновные могут стать участниками судебных процессов и оказаться привлеченными к любому из установленных законодательством видов ответственности. 



[1] «Об утверждении перечня персональных данных, обрабатываемых в Министерстве юстиции Российской Федерации в связи с реализацией трудовых отношений, а также типовой формы согласия на обработку персональных данных федеральных государственных гражданских служащих Министерства юстиции Российской Федерации и иных субъектов персональных данных».

 

 


эксперт журнала
«Отдел кадров коммерческой организации», №3, март, 2015

Отправить сообщение

Спасибо! Ваше сообщение было успешно отправлено