Защита персональных данных работника по ФЗ-152 и Трудовому кодексу

Вопросы защиты персональных данных работника в Российской Федерации являются важным аспектом трудовых взаимоотношений, игнорирование которого может привести к плачевным последствиям для каждого их участника. При этом защита персональных данных работника регулируется большим количеством нормативных документов, важнейшими из которых являются ФЗ-152, или же «Закон о персональных данных», а также Трудовой кодекс Российской Федерации.

Защита персональных данных — что это такое, основная информация

Прежде, чем рассматривать непосредственные принципы обеспечения защиты персональных данных работников и третьих лиц в соответствии с требованиями законодательства, необходимо разобраться в используемой терминологии. Так, согласно юридическому толкованию, закрепленному в нормативных документах, под персональными данными подразумевается любая информация, которая прямо или даже косвенно относится к конкретному физическому лицу.

Под обработкой персональных данных подразумеваются любые действия, связанные напрямую с рассматриваемой информацией, в том числе ее:

Сбор. Он предусматривает фактическое получение информации от самих трудящихся или третьих лиц.
Запись. Так называется любая фиксация сведений, касающихся соискателя или работника.
Хранение. Под ним подразумевается любое сохранение полученных в ходе сбора и записи данных.
Систематизация. Сортировка информации также относится к её обработке.
Накопление. Оно подразумевает фактический сбор данных и расширение имеющейся информации.
Изменение. Под ним предполагается возможное исправление неточностей и актуализация данных.
Использование. Этот вид обработки предусматривает любые способы использования данных в том числе в процессе оформления документации.
Передачу. Она подразумевает предоставление данных конкретным лицам.
Раскрытие. Таковые действия предполагают предоставление широкого открытого доступа к личной информации трудящегося.
Распространение. Подобным способом именуется широкое предоставление данных определенному кругу лиц.
Удаление. Оно предусматривает уничтожение информации о трудящемся, которая хранится на предприятии, в том числе и частичное.
Обезличивание. Данный процесс предполагает уничтожение информации, позволяющей связать личные сведения с конкретным человеком, без уничтожения самих сведений.
Уничтожение. Под ним подразумевается полное физическое уничтожение имеющихся сведений в целом.

Соответственно этому, под защитой персональных данных подразумевается свод законодательных нормативов и практических мероприятий, которые обеспечивают их сохранность и соответствие порядка обращения с ними требованиям законодательства.

В рамках трудовых взаимоотношений в обязательном порядке работодателем проводится обработка персональных данных трудящихся — он получает доступ к их личной информации. Соответственно законодательству, в связи с этим на работодателя возлагаются и соответствующие обязательства по защите персональных данных работника. При этом данные обязательства распространяются и на работодателя, как на субъект хозяйствования, и на отдельных его должностных лиц и сотрудников, как на физических лиц. За нарушение установленного порядка обработки личной информации российским законодательством предусмотрена ответственность вплоть до уголовной.

Защита персональных данных работника по ФЗ-152 и Трудовому кодексу

Основные особенности обработки личной информации трудящихся регламентируются следующими статьями ТК РФ:

Ст.81 предполагает возможность уволить сотрудника за разглашение персональных данных других трудящихся или третьих лиц — подобные действия считаются грубым дисциплинарным нарушением.
Ст.86 регламентирует общие принципы, соответственно которым проводится обеспечение защиты данных трудящихся.
Ст.87 регулирует принципы хранения и использования рассматриваемой информации в трудовых взаимоотношениях.
Ст.88 рассматривает порядок передачи данных трудящихся в рамках трудовых взаимоотношений.
Ст.89 устанавливает права трудящихся, связанные с защитой их личной информации.
Ст.90 обеспечивает правовое регулирование вопросов несения ответственности за нарушение порядка обработки сведений.

Помимо Трудового кодекса принципы работы с личной информацией регалментирует ФЗ №152 от 27.07.2006. Данным законом регулируются общие принципы обращения с личными сведениями на территории Российской Федерации.

Как осуществляется защита персональных данных работника

Непосредственные механизмы правового регулирования защиты персональных данных работника возлагают на работодателя ряд обязанностей. Так, при оформлении трудовых взаимоотношений, работодатель обязан предпринимать следующие мероприятия по защите рассматриваемых сведений:

Ознакомить сотрудника с предусмотренным на предприятии порядком обработки сведений и истребовать согласие самого трудящегося на подобные действия. При этом отказ работника от предоставления такового согласия может предполагать отказ в оформлении трудовых взаимоотношений.
Обеспечивать полный и беспрепятственный доступ трудящегося по запросу ко всем обрабатываемым на предприятии его личным данным.
Предоставлять доступ третьим лицам к данным трудящегося только при согласии последнего, а также в случае необходимости защиты жизни, здоровья или имущества сотрудника, либо — уполномоченным на истребование подобного доступа органам.
При предоставлении иным органам и лицам доступа к сведениям трудящегося, таковой доступ обеспечивается исключительно в отношении необходимых в конкретной ситуации личных данных, а не всей информации о трудящемся в целом.
Привлекать к ответственности сотрудников, виновных в разглашении сведений трудящихся или третьих лиц, связанных с организацией.

Более подробно об ответственности за разглашение персональных данных или нарушении порядка их обработки можно прочитать в отдельной статье.

Как работодателю не налететь на штраф из-за защиты персональных данных

Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.

Сегодня разберем, что такое персональные данные, какой правовой режим устанавливается в отношении персональных данных и какие обязанности возникают у работодателя.

Трудовой кодекс РФ (далее — ТК РФ) устанавливает особенности защиты, а также хранения, использования и передачи персональных данных работника в Главе 14 «Защита персональных данных работника». Правила работы с персональными данными содержатся в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е. персональными данными является огромное количество информации, позволяющей идентифицировать человека, начиная от даты рождения, фамилии, имени, отчества, и заканчивая информацией о расовой, национальной принадлежности человека, его политических взглядах.

Можно привести примерный перечень персональных данных работника:

фамилия, имя, отчество;
дата рождения;
адрес места регистрации/места жительства;
сведения, содержащиеся в документах, предоставляемых при трудоустройстве: паспорте, трудовой книжке, документе об образовании, свидетельстве о государственном пенсионном страховании;
сведения о трудовом (страховом) стаже;
сведения о привлечении работника к материальной ответственности;
сведения о состоянии здоровья и результатах медицинского обследования работника;
любые иные сведения, позволяющие определить работника.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В терминах Закона № 152-ФЗ организация-работодатель является оператором персональных данных, так как организует и осуществляет обработку персональных данных, а также совершает иные действия с персональными данными.

Источник получения персональных данных

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.

Работа с персональными данными

Однако из данного правила имеются исключения. В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора. Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется. Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях.

в Фонд социального страхования РФ, Пенсионный фонд РФ;
в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
наличия у работодателя доверенности на представление интересов работника;
когда соответствующая форма и система оплаты труда прописана в коллективном договоре

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.

Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Отдельные вопросы порядка работы с персональными данными

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника. Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу). По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников. Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации. Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Ответственность за нарушения в сфере обработки персональных данных

Частью 2 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие. Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) “О персональных данных”

О ПЕРСОНАЛЬНЫХ ДАННЫХ

8 июля 2006 года

14 июля 2006 года

Судебная практика и законодательство — 152-ФЗ О персональных данных

5.2. Не позднее чем за один день до дня голосования (пятница) избирательная комиссия субъекта Российской Федерации размещает на своем официальном сайте сведения из реестров избирателей, участников референдума, подавших заявления о включении в список избирателей, участников референдума по месту нахождения, с учетом требований Федерального закона “О персональных данных” в формате: имя, отчество и первая буква фамилии. Указанная информация также размещается на информационных стендах в помещениях для голосования соответствующих избирательных участков, участков референдума.

Федеральным законом от 27 июля 2006 г. N 152-ФЗ “О персональных данных” (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276);

36. Персональное информирование участников НИС о состоянии их именных накопительных счетов осуществляется с учетом требований Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173; ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. I), ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30 (ч. I), ст. 4217; ст. 4243; 2016, N 27 (ч. I), ст. 4164; 2017, N 9, ст. 1276).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных”).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации” (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ “О персональных данных” (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).