Быстрая навигация: Каталог статей Общие вопросы предпринимательской деятельности Предпринимательская деятельность и трудовые отношения Что работодателю необходимо знать о персональных данных работников? (Давыдова Е.В.)

Что работодателю необходимо знать о персональных данных работников? (Давыдова Е.В.)

Дата размещения статьи: 27.03.2015

Уже давно у работодателей не возникает сомнений, что они не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение, поскольку недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована Конституцией РФ. Ранее в ст. 85 ТК РФ давалось определение персональных данных: под ними понималась информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Однако эта статья была отменена и сейчас под персональными данными работника следует понимать любые данные работника как физического лица. Напомним работодателям, какие обязанности установлены для них по обработке, хранению и защите персональных данных работников и какая ответственность может наступить за невыполнение этих обязанностей.

Персональные данные работника и документы, их содержащие

Основным нормативным актом, регламентирующим отношения, связанные с обработкой персональных данных юридическими и физическими лицами, является Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ). Целью данного Закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.
Защите персональных данных работника посвящена и гл. 14 ТК РФ, которой установлены общие требования к обработке этих данных и гарантии их защиты, порядок передачи данных работника третьим лицам и права работников на защиту их персональных данных, хранящихся у работодателя.
Определение персональных данных есть в ст. 3 Закона N 152-ФЗ - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

К сведению. Законом N 152-ФЗ установлены разновидности персональных данных - специальные категории сведений о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни и биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность) (ст. ст. 10, 11).

Поскольку ни Трудовым кодексом, ни Законом N 152-ФЗ не установлено, какие конкретно данные относятся к персональным, в качестве примерного можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36 <1>. Перечислим основные персональные данные, включенные в этот Перечень, кроме тех, что имеют непосредственное отношение к государственной службе (сведений о доходах, о пребывании за границей и т.д.):
- фамилия, имя, отчество, дата и место рождения;
- образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);
- послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов);
- выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.);
- адрес регистрации и фактического проживания;
- паспорт (серия, номер, кем и когда выдан);
- номер телефона;
- отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
- идентификационный номер налогоплательщика;
- номер страхового свидетельства обязательного пенсионного страхования;
- наличие (отсутствие) судимости;
- наличие (отсутствие) заболевания, препятствующего приему на определенную должность, подтвержденное заключением медицинского учреждения;
- результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования.
--------------------------------
<1> "Об утверждении перечня персональных данных, обрабатываемых в Министерстве юстиции Российской Федерации в связи с реализацией трудовых отношений, а также типовой формы согласия на обработку персональных данных федеральных государственных гражданских служащих Министерства юстиции Российской Федерации и иных субъектов персональных данных".

Что касается документов, содержащих персональные данные, к ним в первую очередь относятся паспорт или другой документ, удостоверяющий личность, анкеты, заполняемые при трудоустройстве, трудовая книжка, личная карточка работника по форме N Т-2, документы воинского учета, обязательного пенсионного страхования, документы об образовании, о составе семьи, трудовой договор, справка о доходах с предыдущего места работы, медицинские заключения, свидетельства о заключении брака, рождении ребенка. У работодателя хранятся копии этих документов, за исключением анкет, трудовых книжек и личных карточек.
Все документы, содержащие персональные данные работников, подлежат хранению и защите работодателем в соответствии с требованиями законодательства.

К сведению. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (справочники, адресные книги). В них с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные сообщаемые им данные. При этом сведения о субъекте персональных данных должны быть исключены по его требованию либо по решению суда или иных уполномоченных государственных органов (ст. 8 Закона N 152-ФЗ).

Обработка данных работника

Любое действие, совершаемое работодателем с персональными данными работников с использованием средств автоматизации или без использования таковых, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение, называется одним словом - обработка (ст. 3 Закона N 152-ФЗ).
Обработка персональных данных осуществляется с согласия работника, и получить такое согласие нужно, не откладывая его в долгий ящик, - при приеме на работу. Согласно ст. 9 Закона N 152-ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Оно может быть дано работником (его представителем) в любой позволяющей подтвердить факт его получения форме (письменной, в форме электронного документа, подписанного в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи" электронной подписью), если иное не установлено федеральным законом. Случаи, когда согласие может оформляться в форме электронного документа, должны быть установлены федеральными законами, но пока таких нормативных актов нет.

Примечание. Согласие на обработку персональных данных может быть отозвано их субъектом. Однако в случаях, установленных Законом N 152-ФЗ, обработка может осуществляться и без согласия работника.

Письменное согласие субъекта персональных данных на их обработку должно включать в себя, в частности:
- Ф.И.О. и адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- Ф.И.О. и адрес представителя, реквизиты документа, удостоверяющего его личность, и доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес работодателя (индивидуального предпринимателя);
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие их субъекта;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись работника.
В ст. 86 ТК РФ перечислены общие требования к обработке работодателем персональных данных. Так, установлено, что обработка должна осуществляться в целях обеспечения соблюдения законодательства, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Объем и содержание обрабатываемых данных определяется в соответствии с Конституцией РФ, Трудовым кодексом и иными федеральными законами. При этом работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных, а также данные о членстве работника в общественных объединениях или о его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством.

Примечание. Не допускается запрашивать у работника информацию о его состоянии здоровья, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Все персональные данные следует получать от самого работника. Если же их можно получить только у третьей стороны, то работника нужно уведомить об этом заранее и получить от него письменное согласие. Кроме того, работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника согласиться на их получение.
Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения, если принимает на их основе решения, затрагивающие интересы работника.
Порядок обработки персональных данных, а также права и обязанности работников в этой области работодатель устанавливает в локальном акте, с которым работники должны быть ознакомлены под роспись.

К сведению. Меры по обеспечению безопасности персональных данных при их обработке установлены ст. 19 Закона N 152-ФЗ. Требования к защите этих данных при их обработке в информационных системах установлены Постановлением Правительства РФ от 01.11.2012 N 1119, а Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

Хранение и использование персональных данных

Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов.
При разработке локального акта, определяющего порядок обработки персональных данных, в том числе их хранения и использования, также можно руководствоваться упомянутым выше Постановлением N 687. В нем, например, говорится, что обработка персональных данных без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории данных можно было определить места их хранения (материальных носителей с ними) и установить перечень лиц, осуществляющих обработку данных либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются работодателем.
Особое внимание уделяется хранению документов, содержащих персональные данные, - трудовых книжек, личных дел сотрудников и личных карточек. Трудовые книжки и личные дела рекомендуется хранить в несгораемых шкафах, запирающихся на ключ и имеющих приспособление для опечатывания, или в сейфах. Доступ к ним должен иметь только кадровый работник или иное уполномоченное лицо.
Поскольку в процессе трудовой деятельности возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам, должен вестись их строгий учет. Для этого работодателю рекомендуется применять журналы учета, в которых указываются даты выдачи и возврата документов, наименование документа, срок пользования, цель выдачи, Ф.И.О. и должность лица, получившего документ с персональными данными работника.

Обратите внимание! Персональные данные работника сообщаются в коммерческих целях или третьей стороне только с его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы его жизни и здоровью, а также случаев, предусмотренных Трудовым кодексом или иными федеральными законами (ст. 87 ТК РФ).

В силу ст. 87 ТК РФ, если персональные данные работника были переданы третьим лицам, работодатель вправе требовать от этих лиц подтверждения, что полученные данные будут использованы только в целях, для которых они были получены.
Если данные передаются в пределах одной организации, у одного индивидуального предпринимателя, порядок такой передачи должен быть установлен локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.
Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами, при этом они имеют право получать лишь те данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных

В силу ст. 86 ТК РФ меры по защите вырабатываются совместно работниками и их представителями и работодателем. При этом работодатель за счет собственных средств обеспечивает защиту персональных данных от их неправомерного использования или утраты. В свою очередь, работники имеют определенные права в целях обеспечения защиты персональных данных, хранящихся у работодателя, установленные ст. 89 ТК РФ, в частности:
- на полную информацию об их персональных данных и обработке этих данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, их содержащей, за исключением случаев, предусмотренных федеральным законом (ограничения в доступе установлены ч. 8 ст. 14 Закона N 152-ФЗ);
- на определение своих представителей для защиты своих персональных данных;
- на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
- на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия;
- на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите этих данных.
В целях защиты персональных данных со стороны работодателя он должен в первую очередь обеспечить их хранение. При этом для документов, содержащих эти данные, должны быть использованы технические средства охраны, а для данных, хранящихся в информационных системах, - программные средства защиты информации. Кроме этого, следует ограничить круг работников, имеющих доступ к такой информации. Перечень таких лиц желательно установить локальным актом и оформить с ними обязательство о неразглашении персональных данных. Работодателю также следует создавать необходимые условия для работы с персональными данными (выделять отдельные помещения, обновлять программные средства защиты информации и т.д.).

Обратите внимание! Работник, имеющий доступ к персональным данным, может быть уволен за разглашение данных другого работника по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ, если получил эти данные в процессе исполнения трудовых обязанностей (п. 43 Постановления Пленума ВС РФ от 17.03.2004 N 2).

Ответственность за нарушение законодательства о персональных данных

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работника, в силу ст. 90 ТК РФ могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности.
Одним из видов дисциплинарной ответственности, как уже было отмечено, является увольнение работника, разгласившего персональные данные другого работника, по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ.
Материальная и гражданско-правовая ответственность заключаются в возмещении субъекту персональных данных имущественного и морального вреда.
При этом, как говорится в ст. 24 Закона N 152-ФЗ, моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки данных, а также требований к их защите, подлежит возмещению в соответствии с законодательством РФ независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Должностные лица, в том числе отвечающие за обработку персональных данных, и сама организация могут быть привлечены к административной ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ) и разглашение информации с ограниченным доступом (ст. 13.14 КоАП РФ).
Кроме этого, должностное лицо организации может быть привлечено к ответственности за неправомерный отказ в предоставлении информации гражданину и (или) организации, ее несвоевременное предоставление либо предоставление заведомо недостоверной информации (ст. 5.39 КоАП РФ). При этом за аналогичное правонарушение предусмотрена и уголовная ответственность по ст. 140 УК РФ.
Уголовная ответственность также установлена ст. 137 УК РФ за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия и ст. 272 УК РФ за неправомерный доступ к компьютерной информации.
Говоря об административной ответственности, следует отметить, что в настоящее время штрафы за нарушение законодательства РФ о персональных данных, прямо скажем, небольшие. Размер штрафа, налагаемого на должностное лицо, например по ст. 13.11 КоАП РФ, составляет от 500 до 1000 руб., а на юридическое лицо - от 5000 до 10 000 руб. Однако на момент подготовки нашего материала на рассмотрении в Государственной Думе находится законопроект, устанавливающий новую редакцию ст. 13.11.
Предлагается выделить несколько составов административных правонарушений в этой сфере и увеличить размер штрафов, налагаемых за нарушение законодательства о персональных данных.
В частности, проведение обработки таких данных с нарушением требований законодательства к составу сведений, включаемых в письменное согласие на обработку персональных данных, предусматривает штраф для должностных лиц до 8000 руб., для индивидуальных предпринимателей - до 25 000 руб., а для юридических лиц - до 50 000 руб.
А ответственность за такой состав правонарушения, как проведение обработки персональных данных без согласия их субъекта (субъектов) и в отсутствие иных условий, установленных законодательством, предполагает для должностных лиц штраф в размере до 15 000 руб., для индивидуальных предпринимателей - до 35 000 руб., для юридических лиц - до 50 000 руб.

* * *

В заключение еще раз обращаем внимание на то, что работодателю не стоит пренебрегать обязанностями, установленными для него в сфере обработки и защиты персональных данных. Причем во многих организациях это касается данных не только их сотрудников, но и иных лиц (клиентов, посетителей и т.д.), поскольку за разглашение персональных данных, полученных от кого угодно, виновные могут стать участниками судебных процессов и оказаться привлеченными к любому из установленных законодательством видов ответственности.

 

Если вы не нашли на данной странице нужной вам информации, попробуйте воспользоваться поиском по сайту:



Вернуться на предыдущую страницу

Последние новости
28 июля 2020 г.
Проект Федерального закона № 996066-7 "О внесении изменения в Федеральный закон "О банках и банковской деятельности"

Цель законопроекта - повышение информированности вкладчика об условиях привлечения денежных средств физических лиц во вклады, а также снижение рисков вкладчиков при принятии решения о выборе конкретного вклада и кредитной организации, привлекающей денежные средства во вклады. Изложение условий договора банковского вклада в стандартной табличной форме и информирование вкладчика о минимальной гарантированной процентной ставке по вкладу позволит потребителю сравнивать условия разных банков

20 июля 2020 г.
Проект Федерального закона № 992248-7 "О внесении изменений в КоАП РФ по вопросам защиты прав и законных интересов физических лиц при совершении действий, направленных на возврат просроченной задолженности"

Законопроект направлен на усовершенствование механизма защиты прав граждан от недобросовестных действий при осуществлении возврата просроченной задолженности. Помимо этого, предлагаемое законопроектом изменение компетенции рассмотрения статьи 14.57 КоАП снизит нагрузку на судебные органы.

14 июля 2020 г.
Проект Федерального закона № 988027-7 "О внесении изменений в часть вторую Налогового кодекса РФ"

Законопроектом устанавливается возможность использования системы налогообложения в виде ЕНВД и патентной системы налогообложения для субъектов предпринимательской деятельности в сфере розничной торговли маркированной продукцией на период с 1 сентября 2020 г. по 31 декабря 2021 г. включительно.

7 июля 2020 г.
Проект Федерального закона № 983620-7 "О внесении изменений в Федеральный закон "Об участии в долевом строительстве многоквартирных домов и иных объектов недвижимости и о внесении изменений в некоторые законодательные акты РФ"

Цель законопроекта - обеспечение баланса интересов как участника долевого строительства, так и застройщика. Также он призван обеспечить нормативные рамки взаимодействия сторон при возникновении спорных вопросов.

28 июня 2020 г.
Проект Федерального закона № 979423-7 "О внесении изменений в часть вторую Налогового кодекса РФ"

Законопроектом предлагается ввести гуманитарный сбор в размере 5 процентов от средств полученных рекламораспространителями за предоставление своих услуг. Цель данного сбора - оказание помощи гражданам России, оказавшимся в трудной жизненной ситуации и нуждающимся в лечении.

В центре внимания:

Правовой режим электронных доказательств в суде при рассмотрении трудовых споров (Чуча С.Ю.)

Дата размещения статьи: 04.08.2020

Прокурорские дела. Оспаривание актов. Конфликтное увольнение (Кокорева В.)

Дата размещения статьи: 22.06.2020

Трансформация трудового правоотношения и новые формы занятости в условиях цифровой экономики (Лютов Н.Л.)

Дата размещения статьи: 21.08.2019

Закупка услуг по психиатрическому освидетельствованию работников (Шахова Ю.Н.)

Дата размещения статьи: 23.01.2019

Кто владеет информацией, тот... (Киселев А.)

Дата размещения статьи: 16.01.2018