Нужно ли согласие на обработку персональных данных. Подскажите, пожалуйста, какую формулировку необходимо включить в трудовой договор с работником о его согласии на обработку персональных данных? Какие меры защиты ПД работодатель должен принимать

Заключая трудовые договоры с работниками, и даже еще раньше – при осуществлении подбора сотрудников – работодатель обрабатывает персональные данные (ПД).
Работодатель является оператором персональных данных, а значит должен учитывать множество вопросов и даже нюансов, связанных с обработкой и защитой персональных данных, которые имеют важное значение.

1. Каковы законодательные требования к обработке ПД, которые необходимо учитывать работодателю?

Начать следует с международно-правовых норм.

Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28.01.1981) (далее – Конвенция), которая вступила в силу для нашей страны с 1 сентября 2013 года.

Статья 24 Конституции Российской Федерации устанавливает запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), являющийся основным законодательным актом в этой сфере правового регулирования, базируется на тех же, что и Конвенция, основных принципах. Однако имеет свои особенности, например, устанавливает нашумевшую и широко обсуждавшуюся в СМИ в прошлом году обязанность оператора осуществлять хранение персональных данных российских граждан на территории РФ.

Глава 14 ТК РФ конкретизирует особенности защиты персональных данных применительно к работникам.

Следует также учитывать и применять действующие нормативные правовые акты в сфере обработки персональных данных, например, постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другие.

2. Какая ответственность может грозить работодателю за нарушения в сфере обработки ПД?

Статья 13.11 КоАП РФ в настоящий момент содержит всего один общий состав, предусматривающий одинаковую ответственность за любое нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Размер штрафа для юридических лиц может колебаться от 5000 до 10 000 рублей.

Данное наказание является малозначительным, давно не соответствует тяжести административного правонарушения и не обеспечивает превентивной функции, что в итоге приводит к массовому игнорированию требований действующего законодательства и к нарушениям в процессе их обработки.

Однако уже с 1 июля 2017 года ситуация изменится: в КоАП РФ внесены соответствующие изменения, благодаря которым в ст. 13.11 появятся новые составы административных правонарушений, а также увеличится размер штрафа.

В отдельные составы правонарушения будут выделены обработка ПД в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора персональных данных (ч. 1 ст. 13.11 КоАП РФ3). Должностное лицо будет оштрафовано по этой норме на сумму от 5000 до 10 000 рублей, а организация – от 30 000 до 50 000 рублей.

Самостоятельный состав будет образовывать обработка ПД без письменного согласия их субъекта (работника), либо обработка ПД с нарушением требований к составу сведений, включаемых в письменное согласие (ч. 2 ст. 13.11 КоАП РФ). Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации – от 15 000 до 75 000 рублей.

Оператора ПД (работодателя) теперь накажут также за невыполнение обязанности по предоставлению субъекту ПД информации, касающейся их обработки (ч. 4 ст. 13.11 КоАП РФ). Ответственный сотрудник может быть оштрафован за такое нарушение на сумму от 4000 до 6000 рублей, индивидуальный предприниматель как работодатель – от 10 000 до 15 000 рублей, организация – от 20 000 до 40 000 рублей.

Ответственность наступит и если оператор нарушит требования работника об уточнении ПД, их блокировании или уничтожении в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 5 ст. 13.11 КоАП РФ). Должностное лицо может быть оштрафовано на сумму от 4000 до 10 000 рублей, индивидуальный предприниматель – от 10 000 до 20 000 рублей, юридическое лицо – от 25 000 до 45 000 рублей.

Остальные появившиеся составы административного правонарушения работодателей коснуться не должны. Как видите, максимальный размер штрафа для юридических лиц предусмотрен ч. 2 ст. 13.11 КоАП РФ и может составить до 75 000 рублей. А учитывая последнюю практику проверяющих органов, когда за каждое выявленное в ходе одной проверки нарушение налагается отдельный штраф, – общая сумма наказания может быть довольно существенной.

3. Является ли наличие специального положения о работе с ПД обязательным для работодателя?

Пункт 8 ч. 1 ст. 86 ТК РФ устанавливает, что работники и их представители должны быть ознакомлены под личную подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Таким образом, законодатель устанавливает обязательность наличия такого документа.

Указанные вопросы возможно включить отдельным разделом в ПВТР. Допустимо также составление отдельного документа с любым названием, соответствующим документообороту организации. Это могут быть регламент, положение, правила. Каждый из этих документов будет локальным нормативным актом (ЛНА).

4. На что следует обратить внимание при разработке ЛНА, регламентирующего обработку персональных данных?

Таких вопросов много, поэтому трудно было бы выделить только один или два аспекта, необходимо подробно остановиться на содержании документа и его обязательных частях (разделах).

Во-первых , в самом тексте документа необходимо указать, что это локальный нормативный акт. Это означает, что работодатель должен учитывать требования, установленные ст. 8 ТК РФ, и не забывать, что нормы ЛНА не могут ухудшать положение работника по сравнению с нормами действующих законодательных и иных нормативных правовых актов, о которых мы говорили выше.

Во-вторых , необходимо указать, что работодатель обрабатывает не только персональные данные работников, но также персональные данные соискателей, в случае если формирует так называемый кадровый резерв, включающий резюме понравившихся соискателей, посетивших собеседование, но по каким-то причинам не ставших работниками.

Необходимо также указать, что работодатель продолжает осуществлять обработку (хранение) персональных данных работников и после их увольнения в течение установленного архивного срока хранения.

В-третьих , необходимо обязательно ознакомить всех работников организации, включая временных, работающих по совместительству, заключивших ученический договор, с документом, регламентирующим обработку ПД, под подпись. Целесообразно включить листы ознакомления в состав документа, а сам текст ЛНА прошить, пронумеровать, на сшивке (склейке) скрепить подписью руководителя организации и печатью.

В-четвертых , необходимо грамотно сформулировать согласие на обработку персональных данных, текст которого будет зависеть от целей их обработки.

5. Какие персональные данные может обрабатывать работодатель?

Работодатель не только может, но и должен осуществлять обработку персональных данных, так как обязан вести кадровую документацию, а также осуществлять хранение, иногда сроком 75 лет, определенной номенклатуры кадровых документов.

Примерный состав персональных данных работника может включать:

• фамилию, имя, отчество;
• год, месяц, дату и место рождения;
• адрес места жительства;
• номер домашнего и сотового (мобильного) телефона;
• сведения, содержащиеся в документах, предъявляемых при заключении трудового договора, к которым относятся, в частности: паспорт или иной документ, удостоверяющий личность, трудовая книжка, страховое свидетельство государственного пенсионного страхования, ИНН, документы об образовании и (или) квалификации или о наличии специальных знаний;
• сведения, содержащиеся в документах воинского учета;
• сведения, содержащиеся в документах о составе семьи, необходимых для предоставления работнику гарантий, связанных с выполнением семейных обязательств (например, для оплаты времени нетрудоспособности по листку временной нетрудоспособности, выданному работнику в связи с осуществлением ухода за больным членом семьи);
• сведения, содержащиеся в документах, подтверждающих право работника на получение социальных льгот и/или подтверждающих право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (например, гарантии и компенсации участникам ликвидации аварии на Чернобыльской АЭС и т.п.);
• сведения о предыдущем месте работы (например, при представлении работником справки 2-НДФЛ или аналогичных документов, необходимых для исчисления среднего заработка работника при оплате времени нетрудоспособности);
• сведения о трудовом (страховом) и общем стаже работника;
• занимаемую работником должность;
• сведения о работнике, содержащиеся в документах кадрового учета, включая приказы, а также в личной карточке;
• сведения об обучении работника, а также о пройденном повышении квалификации, переподготовке, аттестации, о результатах служебных проверок и расследований, проводимых работодателем;
• сведения о привлечении работника к материальной ответственности;
• сведения о состоянии здоровья работника, в том числе результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
• сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования (если это является необходимым для осуществления работником трудовых обязанностей);
• фотографию и иные сведения, относящиеся к биометрическим данным работника.

6. Как работодатель вправе осуществлять получение ПД работника?

Все ПД работника следует получать у него самого, причем с его письменного согласия. Обратите внимание: равнозначным содержащему собственноручную подпись письменному согласию работника на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой. Второй вариант подойдет, например, для заключения трудового договора с дистанционным работником, территориально удаленным от места нахождения работодателя.

Бывают случаи, когда ПД сотрудника можно получить только у третьей стороны. Тогда он должен быть уведомлен об этом заранее и от него должно быть получено на это письменное согласие.

Работодателю следует сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению данных (например, оформление запроса на прежнее место работы работника в целях выяснения его профессиональных качеств и т.п.) и последствиях отказа работника дать письменное согласие на их получение.

Статья 65 ТК РФ устанавливает, что лицо, поступающее на работу, предъявляет работодателю определенный комплект документов. Они содержат определенные ПД работника, но не все, которые могут потребоваться в процессе реализации трудовых прав.

Например, в выше упомянутом комплекте документов отсутствуют справки о заработной плате за последние 24 месяца, предшествующие дате трудоустройства. Работник вправе не представлять данные документы, так как ст. 65 ТК РФ прямо запрещает требовать от лица, поступающего на работу, документы помимо предусмотренных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.

Однако, если работник рассчитывает на то, что исчисление сохраняемого за ним среднего заработка в период временной нетрудоспособности будет осуществлено с учетом предыдущего заработка, то он представит соответствующие документы. При их отсутствии размер пособия по временной нетрудоспособности в первые два года с момента трудоустройства будет очень низким.

7. Какие персональные данные работодатель не имеет права обрабатывать?

Работодатель не имеет права получать и обрабатывать ПД работника о его политических, религиозных и иных убеждениях и частной жизни, а также об участии работника в общественных объединениях. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель теоретически вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Однако нам не удалось смоделировать ситуацию, в которой работодатель будет вправе обрабатывать такие персональные данные в связи с трудовыми правоотношениями.

8. Какие меры защиты ПД работодатель должен принимать?

Работодатель при обработке ПД работника обязан принимать необходимые правовые, организационные и технические меры для защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. В частности, рекомендуется ограничить круг лиц, которым предоставляется доступ к ПД работника в связи с исполнением их трудовых обязанностей.

В частности, такой доступ будет явно необходим сотрудникам отдела кадров, бухгалтерам, осуществляющим начисление и выплату заработной платы, непосредственному руководителю, специалисту по охране труда и некоторым другим. Перечень таких лиц, предпочтительно с указанием объема ПД, доступ к которым предоставляется, должен стать частью положения об обработке ПД или отдельным приложением к нему.

При получении сведений, составляющих ПД работника, указанные лица должны иметь право получать только те данные, которые необходимы для выполнения конкретных функций и заданий. Лица, получающие доступ к любым ПД сотрудников, обязаны соблюдать режим секретности (конфиденциальности). Это означает запрет на копирование такой информации, ее несанкционированную передачу, иное распространение или разглашение любым третьим лицам, а также совершение иных незаконных действий.

В трудовые договоры с такими сотрудниками целесообразно включить условие о недопустимости разглашения ПД как вовне, так и внутри организации лицам, не включенным в число имеющих доступ к персональным данным работников. Чаще всего совокупность ПД сотрудников образует базу данных, которая также нуждается в том, чтобы работодатель предпринимал меры по обеспечению ее сохранности.

Работодатель должен также регламентировать правила хранения ПД работников на различных видах носителей. Рекомендуем предусмотреть хранение документов, содержащих ПД работников, на бумажных носителях в помещениях отдела кадров и бухгалтерии. Особые требования предъявляются в отношении хранения трудовых книжек и личных карточек. Личные дела, личные карточки работников и их трудовые книжки необходимо хранить в специально оборудованных несгораемых шкафах или сейфах, которые должны запираться и опечатываться.

ПД работников в электронном виде, включая программное обеспечение, предназначенное для автоматизированной обработки ПД, а также базу данных (например, «1С: Зарплата и кадры», «Галактика», «Парус», SAP, иная аналогичная система для ведения кадрового учета), необходимо защищать, предоставляя доступ уполномоченным сотрудникам только при введении логина (личного идентификатора) и пароля доступа, обеспечивая таким образом ограничение доступа к ПД лицам, не уполномоченным законом, либо работодателем для получения соответствующих сведений.

Для обеспечения безопасности ПД работников следует обратиться к постановлению Правительства РФ от 01.11.2012 № 1119, которым утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных.

9. Каковы основные права и обязанности работника в связи с обработкой его ПД работодателем?

Работник имеет право: на полную информацию о своих персональных данных и их обработку. Статья 89 ТК РФ устанавливает, что работник вправе получить полную информацию об обработке своих персональных данных. ЛНА, регламентирующий такую обработку, должен содержать информацию о том, какие персональные данные работников кем и с какой целью обрабатываются внутри организации.

Но если сотрудник обратится к работодателю письменно, то последний должен указать, кто (как минимум должность), в каком объеме и с какой целью обрабатывает эти данные, если это не следует из самого текста ЛНА; на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей таковые, за исключением случаев, предусмотренных законодательством РФ. Например, если доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц (ч. 8 ст. 14 Закона № 152-ФЗ).

Так, если кадровый документ содержит ПД нескольких лиц, доступ к нему одного из этих лиц возможен с согласия остальных. При отсутствии такого согласия работнику может быть предоставлена выписка из документа.

Это же касается случаев, если кадровый документ содержит сведения, составляющие коммерческую, служебную, государственную тайну. Доступ к такому документу также может быть ограничен; на определение представителей для защиты своих персональных данных. Работник может выдать доверенность представителю, который вправе от его имени обращаться к работодателю, например, с досудебным требованием, – прекратить обработку ПД, уточнить ПД и с любым иным требованием, полномочия на которые переданы по соответствующей доверенности; требовать уточнения его персональных данных, блокирования или уничтожения, исправления неверных, устаревших или неполных ПД, а также данных, обработанных с нарушением требований, определенных трудовым законодательством.

При отказе работодателя исключить или исправить ПД работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Работник, например, вправе требовать внести исправления в документ, в котором фамилия, имя или отчество работника напечатаны с ошибкой, или внести исправления в трудовую книжку в связи с изменением ПД, а также внести данные в личную карточку, скажем, в связи с рождением ребенка и т.п.; дополнить заявлением, выражающим собственную точку зрения работника, его персональные данные оценочного характера.

Сюда относятся несогласие с характеристикой, результатами психологического тестирования, рекомендацией, выданной работнику при прохождении аттестации, и т.п.; требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПД работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его ПД.

Работник обязан в случае изменения сведений, составляющих ПД работника (фамилия, имя, отчество, адрес, паспортные данные, сведения об образовании, состоянии здоровья (при выявлении противопоказаний для выполнения работы, обусловленной трудовым договором) и т.п.), незамедлительно предоставить данную информацию работодателю.

10. Какие особенности обработки ПД работника следует учитывать?

Следует иметь в виду, что закон устанавливает различные ограничения для работодателя в сфере обработки ПД. В частности, при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Например, выводы об опоздании или отсутствии работника на работе и последующем применении к работнику дисциплинарного взыскания в этой связи не могут быть сделаны работодателем только лишь на основании данных электронной проходной. Обязательно наличие иных свидетельств, будь то докладные, служебные записки, акты и пр.

С этим также читают:

Узнаем некоторые особенности получения согласия на обработку персональных данных.

Если закон устанавливает обязанность получить согласие субъекта ПД на их обработку, оператор не имеет права принуждать этого субъекта к подписанию соответствующего соглашения. Гражданин принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст. 9 Закона о персональных данных).

Если субъект ПД недееспособен, согласие на обработку дает его законный представитель (например, если субъект – ребенок, его представляет один из родителей). Если субъект ПД мертв, согласие необходимо получить у его наследников (при условии, что это согласие не было дано субъектом ПД при жизни) .

Роскомнадзор в Разъяснениях указывает, что работодатель вправе обрабатывать персональные данные работника без получения соответствующего согласия в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка (являющимися обычно приложением к коллективному договору), соглашением, а также локальными актами.

А вот при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан получить согласие работников на передачу их персональных данных.

Пунктом 2 ст. 9 Закона о персональных данных предусмотрена возможность субъекта ПД отозвать свое согласие на их обработку. Там же оговаривается возможность такой обработки без согласия субъекта ПД в случаях, установленных законом.

Форма согласия на обработку ПД

Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой форме, позволяющей подтвердить факт его получения (если иное не установлено федеральным законодательством (п. 1 ст. 9 Закона о персональных данных).

Роскомнадзор в Разъяснениях рекомендует согласие работника либо оформлять в виде отдельного документа, либо закреплять в тексте трудового договора. Требования к содержанию такого документа указаны в ч. 4 ст. 9 Закона о персональных данных.

Согласие в письменной форме должно включать в себя , в частности:

1) фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПД;

4) цель обработки персональных данных;

5) перечень ПД, на обработку которых дается согласие субъекта ПД;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;

8) срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Если согласие на обработку ПД составляется в форме электронного документа , оно должно быть подписано электронной подписью – таково требование п. 4 ст. 9 Закона о персональных данных.

Некоторые вопросы получения согласия субъекта ПД на их обработку

Что нужно учитывать, когда условие об обработке ПД является частью документа, например, договора?

Когда условие об обработке ПД является неотъемлемой частью подписываемого документа:

1. Содержание согласия должно быть конкретным и информированным , то есть включать сведения, позволяющие субъекту ПД однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Законом о персональных данных установлены требования к форме такого согласия (которые разберем ниже).

2. Документ должен предусматривать возможность отказа от данного условия, поскольку согласие добровольное.

Возьмем в качестве примера Постановление Девятого арбитражного апелляционного суда от 20.04.2015 № 09АП-9095/2015-АК. Гарантийная мастерская вынудила клиента подписать приложение к заявлению о сдаче товара, включающее пункт о согласии на обработку персональных данных. Согласие было неотъемлемой частью приложения, имело типовую форму с заранее определенными условиями, что не позволяло потребителю влиять на его содержание. Кроме того, приложение не предоставляло возможности отказаться от этого условия. Суд признал ремонтную организацию виновной в нарушении Закона о персональных данных.

Получатель жилищной субсидии не дает согласия на обработку персональных данных по религиозным соображениям. Имеет ли он право на получение госуслуги?

Когда обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Законом о госуслугах , для обеспечения предоставления такой услуги, для регистрации субъекта ПД на едином портале государственных и муниципальных услуг, согласие субъекта ПД на обработку указанной информации не требуется.

Статьей 6 Закона о персональных данных определены условия обработки персональных данных, в том числе указаны случаи, когда допускается обработка ПД без согласия на это субъекта ПД, среди которых и получение госуслуги. Из буквального толкования названной нормы следует, что каждый из таких случаев является самостоятельным основанием обработки персональных данных .

Получатель госуслуги в заявлении на ее получение выражает согласие на передачу и обработку своих персональных данных, необходимых для предоставления услуги.

Обращаясь с заявлением о предоставлении жилищной субсидии и указывая в нем необходимые данные, а также прилагая к нему предусмотренные законодательством документы, получатель госуслуг фактически выражает согласие на передачу и обработку своих персональных данных, требуемых для предоставления услуги.

Ни Законом о персональных данных, ни Законом о госуслугах не установлено, что обработка персональных данных гражданина в целях предоставления ему государственных или муниципальных услуг должна осуществляться только с его письменного согласия. Гражданин имеет право получать госуслуги даже без предоставления письменного заявления на обработку своих персональных данных.

Рассмотрим Апелляционное определение Костромского областного суда от 16.05.2012 по делу № 33-703А. При подаче документов в МФЦ гражданка не стала подписывать заявление о согласии на сбор ее персональных данных, в связи с чем ей было отказано в выплате субсидии. Суд первой инстанции признал действия сотрудников МФЦ правильными, поскольку обработка персональных данных заявителя сотрудниками МФЦ может осуществляться только с письменного согласия. Нежелание дать такое согласие – основание для отказа в приеме заявления и комплекта документов на предоставление государственных и муниципальных услуг.

Вывод суда о том, что МФЦ как оператор персональных данных обязан обеспечить их защиту, соответствовал нормам Закона о персональных данных и Закона о госуслугах. Вместе с тем последующие выводы о невозможности обработки персональных данных без письменного согласия получателя госуслуг и обоснованности отклонения документов на предоставление субсидии апелляционный суд признал ошибочными, поскольку заявление о предоставлении госуслуги с приложенными к нему документами получатель не отзывал, от предоставления услуги не отказывался. А отзыв заявления о согласии на обработку персональных данных, получение которого в силу закона необязательно, не являлся основанием для невозможности предоставления госуслуги. Тем более что у оператора были основания продолжить обработку персональных данных без согласия субъекта ПД.

Субъект ПД уклоняется от исполнения договора (не платит по счетам) и не хочет, чтобы кредитор беспокоил его звонками. Может ли субъект отозвать согласие на обработку своих персональных данных?

Обработка персональных данных может быть продолжена даже после того, как субъект ПД направил требование о ее прекращении, если правоотношения, возникшие между сторонами, продолжаются.

Рассмотрим в качестве примера Апелляционное определение Пермского краевого суда от 14.10.2015 по делу № 33-11127/2015. При заключении кредитного договора гражданин дал согласие на обработку ПД, а впоследствии обратился с заявлением об отзыве этого согласия. Банк отказался исполнить требования клиента, поскольку у него имелась просроченная задолженность. Суд первой инстанции, а затем и апелляционный суд, куда обратился должник, указали, что согласие на обработку персональных данных действительно может быть отозвано субъектом персональных данных (п. 2 ст. 9 Закона о персональных данных). Однако в случае отзыва субъектом ПД согласия на обработку оператор все равно может ее продолжить при наличии на то законных оснований.

Одно из таких оснований установлено п. 5 ч. 1 ст. 6 Закона о персональных данных: обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет выгодоприобретателем или поручителем.

Субъект ПД отозвал согласие на их обработку. Но оператор может ее продолжить при наличии на то законных оснований, например, если это необходимо для исполнения договора с субъектом ПД.

Как следует из содержания данной нормы закона, согласие субъекта ПД на обработку персональных данных не требуется, если она осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД. Поскольку субъект ПД задолженность перед банком не погасил – договор не расторгнут , для взыскания недостающих сумм кредитная организация вправе продолжать обработку ПД и после отзыва субъектом ПД своего согласия.

Случается и другое – оператор обрабатывает персональные данные лица, не участвующего в договоре , которые предоставлены другой стороной при заключении сделки. Например, получатель кредита указывает телефоны своих близких родственников, по которым можно с ним связаться. Оператор может получить такие данные иным путем, если другая сторона не выполняет обязательства по договору. Но следует помнить, что в рассматриваемом случае обработка полученных оператором персональных данных незаконна, несмотря на то, что это могло бы помочь исполнению договора.

Объект ПД, не давший своего согласия на обработку ПД и не являющийся стороной договора, имеет право потребовать прекратить незаконно использовать полученные сведения , а также компенсировать моральный и материальный вред, полученный в результате указанных действий. Рассмотрим Апелляционное определение Верховного Суда Республики Карелия от 14.09.2015 по делу № 33-3094/2015. При заключении договора по просьбе сотрудника банка клиент предоставил телефон своей супруги. После несвоевременного внесения очередной суммы обязательного платежа сотрудники банка стали звонить женщине с требованием посодействовать в возвращении долга. В первом же разговоре жена должника сообщила, что не согласна на использование ее персональных данных, и просила прекратить их обработку. Однако звонки с угрозами и требованиями продолжали поступать. Суд, куда обратилась истица, признал действия банка незаконными, потребовал прекратить обработку персональных данных и выплатить женщине компенсацию морального вреда, поскольку ст. 17, 24 Закона о персональных данных предусмотрено право субъекта ПД на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Вправе ли прокурор потребовать от медучреждения предоставить персональные данные пациентов, больных наркоманией, если согласия на такую обработку ПД эти пациенты не давали?

Прокурор или иное должностное лицо имеет право на получение персональных данных в том числе пациентов больницы, если обработка данных необходима для осуществления и выполнения возложенных на него законодательством РФ функций, полномочий и обязанностей.

В качестве примера рассмотрим Апелляционное определение Челябинского областного суда от 17.07.2014 по делу № 11-6845/2014. Районный прокурор в интересах неустановленного круга лиц через суд лишил водителя права на управление транспортным средством. Причиной послужило наличие у гражданина заболевания, запрещающего вождение автомобиля. Информация была получена прокурором посредством предоставления выписки из истории болезни.

Водитель решил, что его персональные данные были обработаны без согласия, и обратился в суд, указав, что не давал согласия на обработку ПД во время лечения от алкоголизма в районной больнице. Суд счел правильными действия прокурора, а также действия администрации больницы, предоставившей должностному лицу выписку из истории болезни пациента. Суд установил, что администрация больницы предоставила список лиц, состоящих на диспансерном учете с диагнозом «наркомания» районному прокурору по его требованию.

Должностное лицо вправе получить персональные данные, если это необходимо для осуществления и выполнения возложенных на него функций, полномочий и обязанностей.

В силу толкования ст. 1, 21, 22 Закона о прокуратуре прокурор при осуществлении возложенных на него функций вправе в том числе требовать от руководителей организаций и других должностных лиц представления необходимых для выяснения возникших вопросов сведений.

В соответствии с п. 2 ч. 1 ст. 6 Закона о персональных данных обработка ПД допускается для достижения целей, указанных в законе, для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей. Таким образом, Закон о персональных данных, которым предусмотрена обработка персональных данных с согласия их носителя, не препятствует удовлетворению запроса прокурора на истребование сведений в отношении лиц, состоящих на учете в медучреждениях с диагнозами, не позволяющими иметь разрешение на управление транспортными средствами.

Имеет ли право медучреждение заключить договор с ритуальным агентством на предмет перевозки умерших? Не будет ли это расценено как нарушение врачебной тайны и незаконная передача персональных данных?

Если доказательств получения ритуальным агентством в качестве встречного обязательства информации о родственниках умершего суду не будет представлено, то есть если будет доказано, что договор с медучреждением заключен без обязательной передачи персональных данных, действия участников договора будут признаны правомерными.

Рассмотрим в качестве примера Постановление ФАС УО от 26.03.2013 № Ф09-1909/13. Между ритуальным агентством и муниципальной больницей был заключен договор на оказание безвозмездных услуг по обеспечению перевозок умерших в морг специализированным транспортом. ФАС посчитала, что данный договор противоречит п. 5 ч. 1 ст. 14 Закона о защите конкуренции , что выражается в совершении действий, направленных на незаконное получение и использование информации (персональных данных), и вынесла постановление о прекращении нарушения. По мнению антимонопольного органа, ритуальное агентство оказывало услуги в обмен на контакты родственников умершего.

Факт незаконной передачи персональных данных третьему лицу может быть установлен только при наличии соответствующих доказательств.

Кроме того, обработка персональных данных не допускается без согласия субъекта ПД, а в случае его смерти – без согласия его наследников (п. 1 ст. 6, п. 7 ст. 9 Закона о персональных данных). Также в силу ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к указанной информации, обязаны не раскрывать третьим лицам и не распространять персональные данные без соответствующего согласия.

Еще один запрет на передачу информации третьим лицам (в нашем случае – ритуальному агентству) содержат п. 1, 2 ст. 13 Закона о здоровье, не допускающие разглашение врачебной тайны (сведений о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иных сведений, полученных при медицинском обследовании и лечении) в том числе после смерти человека. Таким образом, по мнению антимонопольного органа, передавать информацию об умерших ритуальному агентству больница не имела права.

Однако суды указали, что из текста заключенного договора не следует, что ритуальное агентство в качестве встречного предоставления получило от больницы информацию об умерших. В договоре также не указано, что перевозчик получает какие-либо документы, содержащие персональные данные умерших. При этом антимонопольный орган не установил, каким способом осуществляется документооборот в больнице. Соответственно, доказательств, подтверждающих передачу от больницы ритуальному агентству персональных данных в период исполнения договора, антимонопольный орган предоставить не смог – суд первой инстанции, а впоследствии и апелляционный суд посчитали действия ФАС незаконными.

Итак, обратите внимание, что именно оператор – то есть организация или лицо, обрабатывающие персональные данные (производящие с ними любые действия), – обязан доказать, что согласие субъекта ПД на их обработку получено или что обработка данных возможна на основаниях, установленных законом .

В силу п. 2 ст. 24 Закона о персональных данных моральный вред, причиненный субъекту ПД вследствие нарушения его прав, правил обработки персональных данных подлежит возмещению в соответствии с законодательством РФ. Причем возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков.

См. статью С. П. Фролова «Какие персональные данные можно обрабатывать?», № 3, 2016.

Статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

Пункты 6, 7 Закона о персональных данных.

Письмо Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» опубликовано на официальном сайте www.rsoc.ru.

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

Федеральный закон от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации».

Федеральный закон от 26.07.2006 № 135-ФЗ «О защите конкуренции».

Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

Пункт 3 ст. 9 Закона о персональных данных.

Сотрудникам кадровой службы постоянно приходится иметь дело с персональными данными работников организации.

Персональные данные работников

Сотрудникам кадровой службы постоянно приходится иметь дело с персональными данными работников организации. Причем деятельность по работе с персональными данными включает не только их получение как у потенциальных, так и у работающих сотрудников, но и обработку, хранение, передачу и иные виды использования этих сведений. Однако не всегда кадровики имеют полное представление о правилах работы с персональными данными, не во всех организациях разработаны и утверждены соответствующие локальные нормативные акты. Нередко имеют место случаи нарушения прав работников на защиту персональных данных. Вместе с тем действующее законодательство устанавливает довольно жесткие меры ответственности за нарушение норм, регулирующих обработку и защиту персональных данных, в связи с чем владение информацией о правилах работы с ними является на сегодняшний день достаточно актуальным.

Основную правовую базу в этой сфере составляют Трудовой кодекс РФ и Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (вступил в силу с 26 января 2007 г., далее - Закон N 152-ФЗ). Редакция ТК РФ, вступившая в силу в октябре 2006 г., внесла изменения в гл. 14 "Защита персональных данных работника", большинство из которых носит технический характер и связано с принятием Закона N 152-ФЗ. Но среди них есть и более существенные изменения, касающиеся передачи персональных данных и наказания лиц, виновных в нарушении порядка получения, обработки и защиты персональных данных. Эти нововведения будут изложены ниже.

Что такое персональные данные?

Прежде всего выясним, какие именно сведения могут быть отнесены к персональным данным.

Согласно ст. 3 Закона N 152-ФЗ персональные данные представляют собой любую информацию, относящуюся к определенному или определяемому на основании такой информации лицу, в том числе его:

Фамилия, имя, отчество;

Год, месяц, дата и место рождения;

Семейное, социальное и имущественное положение;

Образование и профессия;

Доходы и другая информация.

Как видно, Закон N 152-ФЗ содержит довольно широкий список сведений, относящихся к персональным данным. Приведенный перечень является открытым. Но все ли из этих данных необходимы для успешного осуществления работником его трудовых функций? Безусловно, нет. К примеру, информация о социальном и имущественном положении не относится к трудовой деятельности работника. С учетом этого ТК РФ более узко определяет персональные данные работника.

В частности, в соответствии со ст. 85 ТК РФ персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Другими словами, это сведения, которые могут охарактеризовать человека именно как работника. Каких-либо иных критериев, как и конкретного перечня персональных данных работника, ТК РФ не устанавливает. Как правило, это информация, необходимая для заключения трудового договора, заполнения личной карточки, назначения на другую должность и т.д.

Персональные данные работника содержатся в следующих документах:

В документе, удостоверяющем личность работника;

В трудовой книжке работника;

В страховом свидетельстве обязательного пенсионного страхования;

В документах воинского учета;

В документах об образовании, квалификации или о наличии специальных знаний или подготовки;

В иных документах, представляемых работником (справки, резюме, грамоты и др.);

В приказах по персоналу;

Докладных и аналитических записках;

В материалах служебных проверок и расследований.

Перечень документов, из которых можно почерпнуть персональные данные работника, также является открытым. Кроме того, в зависимости от конкретной ситуации информация может быть предоставлена работником и устно либо путем заполнения различных анкет, опросных листов. Значительная часть бумаг, содержащих персональные данные работника, находится в его личном деле.

Важно, что персональные данные работника относятся к конфиденциальной информации. Конфиденциальность означает, что любое лицо, получившее доступ к персональным данным, не должно допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания (ст. 3 Закона N 152-ФЗ). Не требуется обеспечивать конфиденциальность обезличенных и общедоступных персональных данных.

Так, к обезличенным персональным данным относятся данные, в отношении которых невозможно определить их принадлежность к конкретному лицу. А если не известно, кому именно принадлежат эти данные, то режим конфиденциальности снимается.

К общедоступным персональным данным относятся данные, доступ к которым с согласия гражданина может быть предоставлен неограниченному кругу лиц (например, с согласия гражданина такие сведения находятся в справочниках, адресных книгах и др.). В общедоступных источниках могут содержаться сведения о профессии, квалификации. Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.

Работодатель должен обеспечивать "секретность" персональных данных работника. Как правило, сбором и обработкой персональных данных в конкретной организации занимаются сотрудники кадровых служб или бухгалтеры. В трудовом договоре с работниками, обрабатывающими персональные данные, должны быть предусмотрены обязанности по обеспечению и сохранению конфиденциальности персональных данных.

Справка. Персональные данные отдельных категорий работников могут относиться к сведениям, составляющим государственную тайну. В первую очередь это касается государственных служащих. Так, в соответствии с ч. 5 ст. 14 Федерального закона от 27 мая 2003 г. N 58-ФЗ "О системе государственной службы Российской Федерации" персональные данные, внесенные в личные дела и документы учета государственных служащих, являются персонифицированными и в случаях, установленных федеральными законами и иными нормативными правовыми актами РФ, относятся к сведениям конфиденциального характера. К примеру, согласно ст. 17 Федерального закона от 3 апреля 1995 г. N 40-ФЗ "О федеральной службе безопасности" сведения о сотрудниках органов службы государственной безопасности, выполнявших (выполняющих) специальные задания в специальных службах и организациях иностранных государств, в преступных группах, составляют государственную тайну.

Обработка персональных данных

Поскольку персональные данные - это информация, с которой нужно работать (например, специалистам кадровых служб), законодательство вводит такое понятие, как обработка персональных данных, и устанавливает конкретные требования к работе с ними.

Согласно ст. 85 ТК РФ обработка персональных данных - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. Закон N 152-ФЗ более подробно раскрывает указанное понятие. Действия (операции) с персональными данными, согласно ст. 3 Закона N 152-ФЗ, включают:

Систематизацию;

Накопление;

Хранение;

Уточнение (обновление, изменение);

Использование;

Распространение (в том числе передачу);

Обезличивание;

Блокирование;

Уничтожение персональных данных.

Таким образом, под обработкой персональных данных подразумеваются любые действия, производимые с персональными данными. Например, формирование списков работников по организации, по структурным подразделениям, профессии, образованию и др.

Статья 86 ТК РФ устанавливает следующие требования к обработке персональных данных работника, предъявляемые к работодателю (соответственно, и к работнику кадровой службы) и направленные прежде всего на защиту персональных данных:

1. Обработка персональных данных работника может осуществляться в строго определенных целях, а именно для соблюдения действующего законодательства, содействия работникам в трудоустройстве, обучения и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Следовательно, в каких-либо иных целях организации обработка персональных данных запрещена.

2. При определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться действующим законодательством. То есть сведения, непосредственно не характеризующие человека как работника, не могут быть истребованы у него или переданы третьим лицам и др.

3. Важное требование, нередко нарушаемое на практике, устанавливает п. 3 ст. 86 ТК РФ: все персональные данные работника должны быть получены от него самого. В случае, когда указанные сведения можно получить только у третьей стороны, работника следует уведомить об этом заранее. Но одного уведомления недостаточно, необходимо также получить его письменное согласие. При уведомлении работника следует сообщить о целях, предполагаемых источниках и способах получения персональных данных, о характере этих данных и о последствиях отказа работника дать письменное согласие на их получение. Соответственно, сбор сведений о работнике без его ведома не допускается.

4. Во всех случаях работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и о частной жизни. Обратите внимание, что если запрет на получение и обработку данных о политических и религиозных убеждениях является безусловным, то ТК РФ разрешает получение данных о частной жизни, но только в случаях, непосредственно связанных с вопросами трудовых отношений, и лишь с письменного согласия работника.

5. Работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или о его профсоюзной деятельности.

6. При принятии решений, затрагивающих интересы работника, нельзя основываться на его персональных данных, полученных исключительно путем их автоматизированной обработки или электронного получения. Указанный запрет связан с тем, что полученные данные могут быть использованы не в том контексте. В каждой ситуации необходимо руководствоваться информацией, полученной путем комплексного сбора информации.

7. Защита персональных данных от неправомерного их использования или утраты обеспечивается работодателем за счет его средств и в порядке, установленном ТК РФ и другими федеральными законами. Это обязанность работодателя, осуществляемая за его счет.

8. Работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Такими документами могут быть положение, инструкция и др.

9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Так, если в трудовой договор будет включена норма о том, что работник отказывается от указанного права, то в этой части трудовой договор будет считаться недействительным.

10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных. Примером таких мер является принятие локальных нормативных актов о персональных данных.

Хранение и использование персональных данных

Согласно ст. 87 ТК РФ работодатель должен установить порядок хранения и использования персональных данных работников. Соответствующие нормы могут быть включены в локальный акт организации о персональных данных. При этом они должны отвечать требованиям, установленным ТК РФ и иными федеральными законами.

Основные документы, содержащие персональные данные работника, объединяются, как правило, в его личное дело. Порядок ведения и хранения личного дела устанавливается работодателем. Вместе с тем сроки хранения документов, содержащих персональные данные работника, определяются в соответствии с Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (утв. Федеральной архивной службой России 6 октября 2000 г., в ред. Решения от 27 октября 2003 г.). Так, личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов организации, работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно. Личные дела остальных работников хранятся в течение 75 лет.

Главным документом о трудовой деятельности и трудовом стаже работника, содержащим и его персональные данные, является трудовая книжка. Порядок хранения трудовых книжек устанавливают Правила ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. N 225). Согласно п. 45 Правил ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на работодателя. Для этого приказом (распоряжением) работодателя назначается специально уполномоченное лицо.

Постановлением Госкомстата России от 5 января 2004 г. N 1 утверждены унифицированные формы первичной учетной документации по учету труда и его оплаты, в соответствии с данным Постановлением работодатель осуществляет хранение указанных документов.

Распоряжением Правительства РФ от 21 марта 1994 г. N 358-р предусматривается, что в целях обеспечения сохранности документов по личному составу увольняемых работников в результате преобразования, реорганизации и ликвидации юридических лиц, а также социальной защищенности граждан, выполняющих работу по договору, учредителям вновь образующихся коммерческих и некоммерческих организаций рекомендовано включать в свои учредительные документы правила учета и сохранности документов по личному составу, а также своевременной передачи их на государственное хранение при реорганизации или ликвидации юридического лица.

Поскольку обязанность по защите персональных данных ТК РФ возлагает на работодателя, то для осуществления такой защиты следует произвести определенные действия по созданию соответствующих технических условий, в частности особый режим доступа в те помещения, где хранятся персональные данные, оборудование мест для хранения такой информации, меры, направленные на защиту персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения персональных данных.

Передача персональных данных работников

Одной из разновидностей обработки персональных данных работника является их передача как внутри организации, так и за ее пределы. Требования к передаче персональных данных работника устанавливает ст. 88 ТК РФ:

1. При передаче персональных данных работника запрещается сообщать их без его согласия:

В коммерческих целях;

Любой иной третьей стороне.

Исключением являются случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также иные случаи, предусмотренные ТК РФ и федеральными законами (например, согласно ст. 228 ТК РФ при несчастном случае на производстве работодатель обязан немедленно проинформировать ряд государственных органов).

Пример 1. ООО "Астана" обратилось к ОАО "Пермэнерго" с просьбой предоставить сведения о бывшем сотруднике ОАО "Пермэнерго". Предоставление таких сведений возможно только при наличии письменного запроса и приложенного к нему заявления самого работника. В заявлении должно быть указано, на предоставление каких именно сведений дает согласие работник.

Например:

Генеральному директору

ОАО "Пермэнерго"

Петрову Ю.Т.

от Иванова А.А.

Заявление

Прошу передать ООО "Астана", где я работаю в настоящее время, копии документов, хранящихся в личном деле.

15.06.2007 Иванов А.А. Иванов

Из этого следует, что персональные данные работников собираются для внутреннего сведения и осуществления нормальной работы организации и без согласия работника не подлежат передаче третьим лицам как письменно, так и устно.

2. Необходимо предупредить лиц, получающих персональные данные работника, о том, что они могут быть использованы только в целях, для которых были сообщены. Работодатель вправе требовать подтверждения того, что это правило соблюдено. Лица, получившие персональные данные (в том числе работники кадровых служб), обязаны соблюдать режим секретности (конфиденциальности). Это требование не относится к случаям передачи персональных данных в порядке, установленном федеральными законами (например, случаи, установленные Федеральным законом от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности". Согласно ст. 6 указанного Закона при осуществлении оперативно-разыскной деятельности проводятся такие мероприятия, как опрос, наведение справок, отождествление личности, исследование предметов и документов, снятие информации с технических каналов связи и др.).

3. Передача персональных данных в пределах одной организации или у одного индивидуального предпринимателя должна осуществляться в соответствии с локальным нормативным актом, с которым работники должны быть ознакомлены под подпись.

Справка. Новшеством ТК РФ является то, что теперь и индивидуальные предприниматели обязаны передавать персональные данные согласно локальному акту и под подпись работников.

4. Доступ к персональным данным работника разрешается только специально уполномоченным лицам. При этом указанные лица вправе получать только те персональные данные, которые необходимы им для выполнения конкретных функций. Следовательно, документы или информация, содержащая персональные данные работника, может быть частично предоставлена другим сотрудникам.

Например, руководителям структурных подразделений только в пределах их компетенции. На практике сделать это бывает довольно непросто, поскольку значительное количество персональных данных собирается в одном месте и хранится централизованно. Упорядочить работу по передаче указанных данных поможет локальный нормативный акт о персональных данных, в котором может быть прописано, кто именно из руководителей и других работников и в каком объеме исходя из их компетенции имеет доступ к персональным данным работников.

5. Запрещается запрашивать информацию о состоянии здоровья работника, кроме сведений, относящихся к вопросу о возможности выполнения работником его трудовой функции. Запрос такой информации возможен для принятия решения о переводе беременной женщины на другую работу, исключающую воздействие неблагоприятных факторов (ст. 254 ТК РФ).

6. Передача персональных данных работника представителям работников допускается лишь в объеме, необходимом для выполнения представителями указанных ими функций. Так, при расторжении трудового договора по инициативе работодателя на основании п. п. 2, 3, 5 ч. 1 ст. 81 ТК РФ на работника - члена профсоюза работодатель передает профсоюзному органу копии документов, являющихся основанием для увольнения, и проект приказа (ст. 373 ТК РФ).

Права работников на защиту персональных данных, хранящихся у работодателя

Статья 89 ТК РФ предусматривает, что в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

Полную информацию об их персональных данных и об обработке этих данных.

К примеру, в соответствии с п. 12 Правил ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. N 225) работодатель обязан знакомить владельца трудовой книжки под подпись в личной карточке с каждой записью, вносимой в трудовую книжку (о выполняемой работе, о переводе на другую постоянную работу и увольнении);

Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом.

Следует иметь в виду, что действующим законодательством за отказ в предоставлении должностным лицом информации предусмотрена уголовная и административная ответственность (ст. 140 УК РФ - штраф от 200 до 500 МРОТ или доход осужденного за период от 2 до 5 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет; ст. 5.39 КоАП РФ - штраф от 5 до 10 МРОТ);

Определение собственных представителей для защиты своих персональных данных. В основном представителями работников в отношениях с работодателями являются профсоюзы (в том числе и в вопросах защиты персональных данных), также работник может защищать свои права самостоятельно;

Доступ работника к своим медицинским данным с помощью медицинского специалиста, которого вправе выбрать сам работник;

Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. Так, согласно п. 27 указанных Правил работодатель обязан оказать работнику необходимую помощь в случаях выявления неправильной или неточной записи в трудовой книжке. При отказе работодателя исключить или исправить персональные данные работника последний вправе заявить в письменной форме о своем несогласии с его обоснованием. При этом персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Ответственность за нарушение правил работы с персональными данными

ТК РФ предусматривает, что лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работника, могут быть привлечены к дисциплинарной и материальной, гражданско-правовой, административной и уголовной ответственности (ст. 90 ТК РФ).

За нарушение правил работы с персональными данными работников сотрудник организации, ответственный за хранение таких данных, может быть привлечен к дисциплинарной ответственности путем применения к нему одного из дисциплинарных взысканий, предусмотренных ТК РФ (замечание, выговор, увольнение). Дисциплинарные взыскания могут быть наложены только на тех сотрудников, в чьих трудовых договорах содержится обязанность по соблюдению правил работы с персональными данными. При этом трудовой договор с сотрудником, разгласившим охраняемую законом тайну (к которой относятся и персональные данные), может быть расторгнут по инициативе работодателя (пп. "в" п. 6 ст. 81 ТК РФ). Однако нужно иметь в виду, что увольнение по этому основанию возможно именно за разглашение персональных данных. За иные нарушения правил работы с персональными данными работодатель вправе наложить другое дисциплинарное взыскание.

Пример 2. По вине работника кадровой службы ОАО "Цветы Москвы" Сидорова П.А. личные дела сотрудников были залиты водой. Поскольку разглашения персональных данных работников не произошло, то отсутствуют основания для расторжения трудового договора с Сидоровым П.А. по пп. "в" п. 6 ст. 81 ТК РФ. По итогам проведенной проверки ему было сделано замечание.

Что касается административной ответственности, в соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 3 до 5 МРОТ, на должностных лиц - от 5 до 10 МРОТ, на юридических лиц - от 50 до 100 МРОТ.

Кроме того, поскольку персональные данные относятся к конфиденциальной информации, необходимо иметь в виду ст. 13.14 КоАП РФ, которая предусматривает, что разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 5 до 10 МРОТ, на должностных лиц - от 40 до 50 МРОТ.

К материальной ответственности могут быть привлечены работники, обрабатывающие персональные данные (кадровики), если работодатель должен заплатить работнику, которому был причинен ущерб по их вине. Например, в результате неправильной записи в трудовой книжке (не та формулировка причины увольнения и т.п.) он был лишен возможности продолжать свою трудовую деятельность в иной организации и понес моральный и материальный ущерб.

Привлечение к гражданско-правовой ответственности возможно в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина, и т.д. (ст. ст. 150, 151, 152 ГК РФ).

УК РФ предусматривает наступление уголовной ответственности за злоупотребления и незаконные действия с информационными данными о частной жизни (ст. 137 УК РФ), за неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, если эти деяния причинили вред правам и законным интересам гражданина (ст. 140 УК РФ), и др.

Положение о персональных данных

Согласно ст. ст. 8 и 22 ТК РФ работодатель вправе принимать в пределах своей компетенции локальные нормативные акты, предусматривающие в том числе порядок хранения и обработки информации о персональных данных работника. Локальный акт (документ) организации о персональных данных работника может быть разработан в виде положения или инструкции. Разработкой его занимается, как правило, кадровая служба. Четких требований к структуре и содержанию данного локального акта действующее законодательство не содержит, но по общему смыслу он должен устанавливать порядок обработки персональных данных работников, их передачи, а также права, обязанности работника и работодателя, ответственность за нарушение установленных правил.

Примерная структура положения о персональных данных может выглядеть следующим образом.

1. Общие положения:

Цели и задачи организации в области защиты персональных данных работников;

Понятие и состав персональных данных работников;

Документы, содержащие персональные данные работников;

Порядок получения персональных данных работников.

2. Порядок хранения, использования и передачи персональных данных:

Меры, предпринимаемые к защите от несанкционированного доступа к персональным данным;

Место хранения, лицо, ответственное за хранение персональных данных работников (например, "персональные данные работников вместе с необходимыми документами передаются на хранение в отдел кадров");

Перечень лиц, имеющих доступ к персональным данным работников (руководитель организации, начальник отдела кадров, сотрудники отдела кадров и др.);

Общие требования к передаче персональных данных работников;

Порядок передачи персональных данных работников в пределах организации (в какое подразделение может быть передана соответствующая информация, порядок ее хранения в этих подразделениях, перечень лиц, имеющих право доступа к указанной информации в данных подразделениях).

3. Обязанности работодателя по хранению и защите персональных данных работников:

Обязанности по обеспечению защиты персональных данных, ознакомлению работников с внутренними документами, регламентирующими работу с персональными данными, обеспечению доступа к персональным данным и др.

4. Права работников на защиту персональных данных:

Право на бесплатный доступ к своим персональным данным, на получение копий любой записи, на определение своих представителей для защиты своих персональных данных и др.

5. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Перечень лиц, имеющих доступ к персональным данным работников организации, целесообразно оформить в качестве приложения к положению о персональных данных.

Приложение

к положению о персональных данных

Список лиц, имеющих доступ к персональным данным работников

Генеральный директор Дорошенко Н.Н. Дорошенко

С положением каждый работник должен быть ознакомлен под расписку, которая остается у работодателя.

Расписка

Я, Иванов Петр Сергеевич, ознакомлен с положением о персональных данных работника, права и обязанности в области персональных данных мне разъяснены.

12.01.2007 Иванов С.П. Иванов

Напомним, что разработка локального нормативного акта о персональных данных работников является обязанностью работодателя, неисполнение которой может повлечь привлечение к административной ответственности по ст. 5.27 КоАП РФ, а именно наложение административного штрафа на должностных лиц в размере от 5 до 50 МРОТ; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от 5 до 50 МРОТ или административное приостановление деятельности на срок до 90 суток; на юридических лиц - от 300 до 500 МРОТ или административное приостановление деятельности на срок до 90 суток.

Судебно-арбитражная практика. Общество с ограниченной ответственностью (далее - Общество) обратилось в суд с кассационной жалобой, в которой просило отменить Постановление суда апелляционной инстанции.

Из материалов судебного дела следует, что постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении Общество было привлечено к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, выразившееся в нарушении п. 8 ст. 86 ТК РФ, поскольку работник Общества Г. не был ознакомлен под подпись с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Общество обратилось в Арбитражный суд г. Москвы о признании незаконным постановления Государственной инспекции труда г. Москвы. Решением Арбитражного суда г. Москвы в удовлетворении заявленных требований отказано. Постановлением Девятого арбитражного апелляционного суда данное решение оставлено без изменения.

Как указано в кассационной жалобе, по мнению Общества, вывод суда о нарушении Обществом норм трудового законодательства не соответствует фактическим обстоятельствам и имеющимся в деле доказательствам, поскольку на момент проведения проверки Г. не являлся работником Общества, поэтому не требовалось его знакомить с документами, устанавливающими порядок обработки персональных данных.

Судом в удовлетворении кассационной жалобы было отказано. При этом суд указал, что у Общества была реальная возможность для соблюдения правил и норм трудового законодательства, но оно свою обязанность не выполнило без наличия уважительных причин (Постановление ФАС Московского округа от 27 ноября 2006 г. N КА-А40/11424-06).

Судебно-арбитражная практика. Страховое общество (далее - Общество) обратилось в суд с кассационной жалобой, в которой просило отменить Постановление суда апелляционной инстанции.

Из материалов судебного дела следует, что постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении Общество было привлечено к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, выразившееся в нарушении ст. ст. 86 - 88 ТК РФ, а именно в неиздании локального нормативного акта, которым устанавливается порядок обработки персональных данных работников, а также их права и обязанности в этой области. На Общество был наложен штраф в размере 30 тыс. руб.

Общество попыталось оспорить указанное постановление в судебном порядке. Но Решением Арбитражного суда г. Москвы в удовлетворении заявленных требований было отказано. Постановлением Девятого арбитражного апелляционного суда данное решение оставлено без изменения.

Как указано в кассационной жалобе, по мнению Общества, нарушение является малозначительным, а назначенное наказание - чрезмерно суровым, в связи с чем Обществом был поставлен вопрос об отмене судебных актов, состоявшихся по делу.

Судом в удовлетворении кассационной жалобы было отказано. При этом суд указал, что отсутствуют основания для признания данного правонарушения малозначительным (Постановление ФАС Московского округа от 1 ноября 2006 г. N КА-А40/10787-06).

Таким образом, из статьи и приведенных примеров судебно-арбитражной практики видно, что требования о защите персональных данных работников, заключающиеся в том числе в издании локального нормативного акта организации о персональных данных, носят обязательный характер. Реализация их на практике позволит избежать привлечения к ответственности, а также дополнительных затрат в случае проведения проверок.

Г.А.Соколова Юрист юридического департамента ООО "Орион-Эстейт"
Подписано в печать 28.06.2007 "Кадровая служба и управление персоналом предприятия", 2007, N 7

• Кадровое делопроизводство

Ответ: Условие трудового договора только о согласии работника на предоставление соответствующих сведений (Ф. И.О., должности, краткой автобиографии) не может считаться надлежащим согласием по смыслу Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — Закон N 152-ФЗ). В рассматриваемой ситуации необходимо составить отдельный документ, соответствующий требованиям ч. 4 ст. 9 Закона N 152-ФЗ, или заключить дополнительное соглашение к трудовому договору.

Обоснование: Согласно п. 3 ст. 86 Трудового кодекса РФ все персональные данные работника следует получать у него самого.

В соответствии с ч. 1 ст. 6, ст. 9 Закона N 152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

В ст. 8 Закона N 152-ФЗ установлено, что в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Требования к письменному согласию субъекта персональных данных установлены в ч. 4 ст. 9 Закона N 152-ФЗ: согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Как отмечается в Разъяснениях Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве по состоянию на 24.12.2012, согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Закона N 152-ФЗ.

Таким образом, условие трудового договора только о согласии работника на предоставление соответствующих сведений не может считаться надлежащим согласием по смыслу Закона N 152-ФЗ. В рассматриваемой ситуации необходимо составить отдельный документ, соответствующий требованиям ч. 4 ст. 9 Закона N 152-ФЗ, или заключить дополнительное соглашение к трудовому договору.

В трудовой договор с работником включено условие о согласии предоставить Ф. И. О., должность и краткую автобиографию работодателю для опубликования на общедоступном сайте работодателя в сети Интернет. Необходимо ли дополнительно запрашивать согласие работника на предоставление персональных данных (по правилам Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»)? Организация не относится к тем работодателям, обязанность по размещению персональных данных работников которых в сети Интернет установлена нормативно

В ситуации, когда организация заключила договор с оператором связи об оказании услуг связи (Интернет), в договоре абонента с юридическим лицом либо индивидуальным предпринимателем устанавливается обязанность предоставлять оператору связи юридическим лицом либо индивидуальным предпринимателем список лиц, использующих его оборудование, а также срок представления указанного списка.Обоснование: В договоре абонента помимо обязательных сведений (Ф. И.О., контактные данные и т. д.) установлено обязательство представления списка лиц, пользующихся оконечным оборудованием, с обновлением такого списка не реже одного раза в квартал (п. 22(1) Правил оказания телематических услуг связи, утвержденных Постановлением Правительства РФ от 10.09.2007 N 575, введен Постановлением Правительства РФ от 31.07.2014 N 758 "О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей"). Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По нашему мнению, организация связи, рассматриваемая в данном вопросе, подпадает под определение оператора персональных данных, согласно которому оператором признается, в частности, юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона N 152-ФЗ). В то же время обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Таким образом, организация — оператор связи подпадает под ограничения, установленные ст. 7 Закона N 152-ФЗ, в соответствии с которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. В этой связи считаем, что каких-либо дополнительных мер предосторожности для защиты персональных данных работников организации не требуется. Вместе с тем в Российской Федерации согласно ст. 421 Гражданского кодекса РФ предусмотрена свобода договора. Возможность договориться с оператором о, например, выборе ответственного за пользование оконечным оборудованием либо заключить дополнительное соглашение о неразглашении персональных данных, включив в него размер штрафа по своему усмотрению, всегда есть. Соответственно, организация вправе предусматривать условия в договоре совместно с оператором по согласованию о неразглашении персональных данных. Таким образом, обязательство о представлении списка лиц, пользующихся оконечным оборудованием, установлено законодательно, а вот особые условия, такие как соглашение о неразглашении персональных данных, возможно предусмотреть сторонами в самом договоре.

Обязана ли организация, заключившая договор с оператором связи об оказании услуг связи (Интернет), предоставить персональные данные работников организации, имеющих на своих рабочих местах доступ к сети Интернет? Как обезопасить себя от утечки персональных данных работников?