Персональные данные:
что должен знать работодатель

Персональные данные каждого гражданина являются конфиденциальной информацией. Работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение.

До 18.05.2013 в ст. 85 ТК РФ давалось определение персональных данных – под ними понималась информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А обработка персональных данных работника – это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. Однако эта статья была отменена, и сейчас под персональными данными работника следует понимать любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Так что же входит в понятие «персональные данные»? Что нужно знать работодателям об обработке персональных данных? Всегда ли необходимо спрашивать согласие работников на обработку их персональных данных? И, конечно же, какая ответственность предусмотрена за нарушение закона о персональных данных? Рассмотрим указанные вопросы в данной статье.

Как мы уже выше напомнили, персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Другими словами, информация, конкретно определяющая лицо, о котором идет речь. Однако ни один нормативно-правовой акт по данной теме не содержит конкретного (закрытого) перечня сведений, относимых к персональным данным. Зачастую на практике данный момент вызывает затруднения.

И все-таки безошибочно идентифицировать субъекта персональных данных нам позволяют: 

• фамилия, имя, отчество;
• дата и место рождения;
• адрес (место регистрации);
• семейное, социальное и имущественное положение;
• образование, профессия;
• доходы, имущество и имущественные обязательства;
• специальные персональные данные (категория персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). Обработка указанной категории данных не допускается,
  за исключением случаев, предусмотренных ч. 2 ст. 10 Закона № 152-ФЗ;
• биометрические персональные данные (сведения, которые характеризуют физиологические
  и биологические особенности человека, на основании которых можно установить его личность).
  Такие сведения могут быть обработаны только с согласия субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона № 152-ФЗ.

ПОЛЕЗНО ЗНАТЬ

Законом № 152-ФЗ установлены разновидности персональных данных – специальные категории сведений о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни и биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность).

Приведем примеры судебной практики в части таких персональных данных, как фамилия, имя, отчество. В деле, рассмотренном в Определении СК по гражданским делам Приморского краевого суда от 09.09.2013 № 33-7063, суд отметил, что «в совокупности имя, отчество, улица и номер дома не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума». «Разрешая заявленные требования, суд пришел к обоснованному выводу об отказе в удовлетворении исковых требований, поскольку сведения, размещенные в Интернете по ссылке ... не являются персональными данными истца, так как не содержат персонифицированных и детализированных данных, позволяющих определить, в отношении какой квартиры, какого населенного пункта идет речь, а также отсутствует указание на фамилию, что не позволяет идентифицировать лицо, о котором идет речь».

Таким образом, раскрытие чужого имени и отчества лица не является нарушением Закона, если только эти имена не единичны.

А в деле Апелляционного определения СК по гражданским делам Московского городского суда от 06.09.2012 № 11-17136 было указано, что «ссылка ответчика на то обстоятельство, что фамилия, имя и отчество не являются персональными данными, не может быть принята во внимание, как противоречащая действующему законодательству, так как, исходя из положений п. 1 ст. 3 Закона № 152-ФЗ, персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

ПОЛЕЗНО ЗНАТЬ

Поскольку ни Трудовым кодексом, ни Законом № 152-ФЗ не установлено, какие конкретно данные относятся к персональным, в качестве примерного можно использовать перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный приказом Минюста РФ от 21.03.2013 № 36.

Некоторые специалисты используют в своей работе Перечень персональных данных, обрабатываемых в Минюсте РФ в связи с реализацией трудовых отношений, утв. приказом Минюста РФ от 21.03.2013 № 36. Обращаем внимание работодателей, что в локальных актах не получится сократить перечень «персональных данных». Это может привести к наложению штрафа на компанию при проверке.

Что касается документов, содержащих персональные данные, к ним, в первую очередь, относятся: паспорт или другой документ, удостоверяющий личность; анкеты, заполняемые при трудоустройстве; трудовая книжка; личная карточка работника по форме Т-2; документы воинского учета, обязательного пенсионного страхования; документы об образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому); послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания); ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов); справка о составе семьи; трудовой договор; справка о доходах с предыдущего места работы; медицинские заключения; свидетельства о заключении брака, рождении ребенка. У работодателя хранятся копии этих документов, за исключением анкет, трудовых книжек и личных карточек.

В соответствии с п. 3 ст. 3 Закона № 152-ФЗ под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

ПОЛЕЗНО ЗНАТЬ

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (справочники, адресные книги). В них с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные сообщаемые им данные. При этом сведения о субъекте персональных данных должны быть исключены по его требованию либо по решению суда или иных уполномоченных государственных органов.

Согласно ст. 9 Закона № 152-ФЗ субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Оно может быть дано работником (его представителем) в любой позволяющей подтвердить факт его получения форме (письменной, в форме электронного документа, подписанного в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» электронной подписью), если иное не установлено федеральным законом. Случаи, когда согласие может оформляться в форме электронного документа, должны быть установлены федеральными законами, но пока таких нормативных актов нет.

ПОЛЕЗНО ЗНАТЬ

Согласие на обработку персональных данных может быть отозвано их субъектом. Однако в случаях, установленных Законом № 152-ФЗ, обработка может осуществляться и без согласия работника.

В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных. Согласие на обработку персональных данных может быть отозвано их субъектом (ч. 2 ст. 9 Закона № 152-ФЗ). Однако в случаях, установленных Законом № 152-ФЗ, обработка может осуществляться и без согласия работника:

• обработка необходима в целях исполнения заключенного с работником договора или возложенных
  на работодателя обязанностей, функций и полномочий (пп.пп. 2, 5 п. 1 ст. 6 Федерального закона
  № 152-ФЗ);
• это предусмотрено коллективным договором, соглашением, локальными актами учреждения, принятыми в установленном ст. 372 ТК РФ порядке (см. Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»);
• обязанность по обработке предусмотрена законодательством, в том числе для опубликования
  и размещения персональных данных работников в Интернете (п. 1 Разъяснений Роскомнадзора);
• обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (пп. 2.3 п. 2 ст. 10 Федерального закона № 152-ФЗ). Указанная обработка допускается, например, в отношении сведений о состоянии здоровья педагогических работников (ст. 331 ТК РФ);
• обработка персональных данных специальных категорий проводится органами прокуратуры при условии, что такие данные были получены в установленных законодательством РФ случаях
  (пп. 7.1 п. 2 ст. 10 Федерального закона № 152-ФЗ);
• обработка персональных данных связана с выполнением работником своих трудовых обязанностей
  (п. 3 Разъяснений Роскомнадзора);
• обработка проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений (п. 5 Разъяснений Роскомнадзора);
• персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в других ситуациях, предусмотренных федеральными законами (ст. 88 ТК РФ);
• обработка персональных данных осуществляется в отношении уволенных работников, например,
  в рамках бухгалтерского и налогового учета (пп. 5 п. 3 ст. 24 НК РФ, ст. 29 Федерального закона
  от 06.12.2011 № 402-ФЗ, п. 5 Разъяснений Роскомнадзора).

ПОЛЕЗНО ЗНАТЬ

Не допускается запрашивать у работника информацию о его состоянии здоровья, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

В ст. 86 ТК РФ перечислены общие требования к обработке работодателем персональных данных.

Необходимо помнить, что все персональные данные следует получать от самого работника. Если же их можно получить только у третьей стороны, то работника нужно уведомить об этом заранее и получить от него письменное согласие. Кроме того, работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника от согласия на их получение.

Напоминаем, что меры по обеспечению безопасности персональных данных при их обработке установлены ст. 19 Закона № 152-ФЗ. Требования к защите этих данных при их обработке в информационных системах установлены постановлением Правительства РФ от 01.11.2012 № 1119, а постановлением Правительства РФ от 15.09.2008 № 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

Помимо обработки персональных данных работодатель осуществляет еще и хранение и использование персональных данных. Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов (ст. 87 ТК РФ). Как правило, это прописывается в локальном нормативном акте, например положении об обработке, хранении и защите персональных данных. При разработке такого акта необходимо учитывать положения ТК РФ, Федерального закона № 152-ФЗ, постановлений Правительства РФ №№ 687 и 1119.

В соответствии с частью восьмой ст. 86 ТК РФ работники (и их представители) должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Таким образом, для выполнения указанного требования можно завести журнал, в котором работники будут расписываться в том, что ознакомлены с соответствующими локальными нормативными актами, или же прописать отдельным пунктом в трудовом договоре.

ПОЛЕЗНО ЗНАТЬ

По общему правилу, сформулированному в ст. 9 Закона № 152-ФЗ, обработка персональных данных допускается только с согласия субъектов персональных данных, за исключением случаев, указанных в п.п. 2–11 ч. 1 ст. 6 этого Закона. Так, в п. 7 ч. 1 ст. 6 Закона № 152-ФЗ указано, что обработка персональных данных возможна без согласия субъекта персональных данных, если она необходима для осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

Локальные акты, регулирующие вопросы персональных данных

Что же касается содержания локального акта о персональных данных, можно отметить следующее. В данном документе необходимо отразить все требования, установленные законом в части получения, обработки, хранения, комбинирования, передачи и любого другого использования персональных данных работников, а также гарантии по их защите. В частности, указать, кто и в каком порядке имеет доступ к полученным сведениям, каковы меры, направленные на их сохранение и неразглашение, и порядок их передачи – и внутри предприятия, и третьим лицам (например, контролирующим органам).

Также должно быть зафиксировано, какие именно сведения (перечень сведений) и информация, используемые работодателем, относятся к категории персональных данных.

Другой обязательной информацией, подлежащей отражению в положении о персональных данных, является перечень должностных лиц, наделенных полномочиями по обработке, хранению и использованию персональных данных и, соответственно, несущих ответственность за нарушение требований законодательства. Положение о персональных данных, как и любой другой локальный нормативный акт, утверждается на основании соответствующего приказа руководителя организации.

Хранение персональных данных

Что касается хранения персональных данных, если организация осуществляет обработку персональных данных без использования средств автоматизации, то можно использовать постановление № 687. В нем сказано, что обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории данных можно было определить места их хранения (материальных носителей с ними) и установить перечень лиц, осуществляющих обработку данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Перечень мер для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются работодателем.

ПОЛЕЗНО ЗНАТЬ

Проверить организацию по данному вопросу могут Роскомнадзор и Роструд. Порядок проведения подобных проверок регламентирован положениями соответствующих регламентов (регламент для Роскомнадзора утвержден приказом Минкомсвязи России от 14.11.2011 № 312, регламент для Роструда – приказом Минтруда России от 30.10.2012 № 354н).

Ответственность

Лица, которые виновны в нарушении норм, регулирующих обработку и защиту персональных данных работника, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, уголовной и административной ответственности (ст. 90 ТК РФ).

Дисциплинарная ответственность. Трудовой договор с работником может быть расторгнут в связи с разглашением охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных другого работника (пп. «в» п. 6 ст. 81 ТК РФ). В отношении нарушителя может быть применено такое дисциплинарное взыскание, как замечание, выговор или увольнение (ст. 192 ТК РФ). Следовательно, работодатель может уволить работника, разгласившего персональные данные другого сотрудника, соблюдая порядок привлечения к дисциплинарной ответственности.

Материальная ответственность. В результате незаконного распространения информации о персональных данных работнику может быть причинен моральный вред, который должен возместить работодатель. Материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения им сведений, составляющих охраняемую законом тайну (п. 7 ст. 243 ТК РФ).

Гражданско-правовую, уголовную и административную ответственность приведем в таблице:

Ответственность	НПА	Мера наказания
Уголовная	Ст. 137 УК РФ. Нарушение неприкосновенности частной жизни	Штраф в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет
Административная	Ст. 13.11 КоАП РФ. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)	Предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб.; на должностных лиц – от 500 до 1000 руб.; на юридических лиц – от 5000 до 10 000 руб.
	Часть 2 ст. 13.12 КоАП РФ. Нарушение правил защиты информации	Наложение административного штрафа на граждан в размере от 1500 до 2500 руб. с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от 2500 до 3000 руб.; на юридических лиц – от 20 000 до 25 000 руб. с конфискацией несертифицированных средств защиты информации или без таковой
	Статья 13.14 КоАП РФ. Разглашение информации с ограниченным доступом	Наложение административного штрафа на граждан в размере от 500 до 1000 руб.; на должностных лиц – от 4000 до 5000 руб.
Гражданская	Статья 1064 ГК РФ. Общие основания ответственности за причинение вреда	Вред, причиненный личности или имуществу гражданина, а также вред, причиненный имуществу юридического лица, подлежит возмещению в полном объеме лицом, причинившим вред

В настоящее время в Государственной думе находится законопроект № 683952-6, устанавливающий новую редакцию ст. 13.11 КоАП РФ. Предлагается выделить несколько составов административных правонарушений в этой сфере и увеличить размер штрафов, налагаемых за нарушение законодательства о персональных данных.

В частности, проведение обработки таких данных с нарушением требований законодательства к составу сведений, включаемых в письменное согласие на обработку персональных данных, предусматривает штраф для должностных лиц до 8000 руб., для индивидуальных предпринимателей – до 25 000 руб., а для юридических лиц – до 50 000 руб.

А ответственность за такой состав правонарушения, как проведение обработки персональных данных без согласия их субъекта (субъектов) и в отсутствие иных условий, установленных законодательством, предполагает для должностных лиц штраф в размере до 15 000 руб., для индивидуальных предпринимателей – до 35 000 руб., для юридических лиц – до 50 000 руб.

• Назад
• Вперёд