Защита персональных данных работника
Понятие персональных данных работника
Необходимость в особой правовой защите сведений о личности (персональных данных) работников обусловлена прежде всего тем, что в процессе трудовых отношений (в первую очередь при их оформлении) работник предоставляет работодателю определенную информацию о себе как о личности, которая в соответствии с действующим законодательством относится к персональным данным работника.
Конституция РФ в ч. 1 ст. 23 гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. В силу положений ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Указанные положения Конституции, в свою очередь, основаны на общепризнанных нормах и принципах международного права. Так, Всеобщая декларация прав человека 1948 г., Международный пакт о гражданских и политических правах 1966 г., Европейская конвенция о защите прав человека и основных свобод 1950 г., Конвенция СНГ о правах и основных свободах человека 1995 г. закрепляют право граждан на уважение частной и семейной жизни и признают незаконными какие-либо посягательства на честь и достоинство человека.
Особую актуальность вопросы обработки, использования и защиты персональных данных работника приобретают на современном этапе в условиях развивающегося электронного документооборота, когда осуществляется автоматизированный сбор, обработка и хранение информации, в том числе и персональных данных работников организации. Естественно, что такой процесс, как и любая компьютерная информация, несет в себе определенные риски, связанные с разглашением персональных данных, незаконным доступом к ним. Указанные обстоятельства порождают необходимость в особой правовой защите персональных данных, предоставляемых работниками своим работодателям. Как средство реализации вышеназванных положений Конституции следует рассматривать нормы Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями от 21 июля 2014 г.) и гл. 14 ТК, посвященные неприкосновенности частной жизни, защите чести и доброго имени, личной и семейной тайны, недопущению сбора, хранения, использования и распространения информации о частной жизни лица без его согласия. Целью правового регулирования защиты персональных данных, как указывают ст. 2 Федерального закона «О персональных данных» и ч. 1 ст. 86 ТК, является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Ранее ст. 85 ТК содержала понятие персональных данных работника и определяла их как информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника. Однако данная статья признана утратившей силу на основании Федерального закона от 7 мая 2013 г. № 99-ФЗ. В настоящее время легальное определение персональных данных закреплено в Федеральном законе «О персональных данных». В соответствии с п. 1 ст. 3 указанного закона под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), т. е. даже такие сведения, в которых лицо прямо не поименовано, но его можно конкретно определить (индивидуализировать) по другим признакам, относящимся к персональным данным. Необходимо иметь в виду, что применительно к трудовым правоотношениям положения Федерального закона «О персональных данных» носят общий характер, т. е. применяются в той мере, в какой эти отношения не урегулированы гл. 14 ТК «Защита персональных данных работника» (специальная норма). Кроме того, с 1 сентября 2013 г. в Российской Федерации действует Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г. Под персональными данными в указанной Конвенции понимается любая информация об определенном или поддающемся определению физическом лице.
В силу предписаний ст. 65 ТК работник при заключении трудового договора должен представить работодателю паспорт или иной документ, удостоверяющий личность; трудовую книжку; страховое свидетельство обязательного пенсионного страхования; в случае необходимости наличия специальных знаний — документ об образовании и (или) о квалификации; военнообязанные лица должны предоставить документы воинского учета; в установленных законодательством случаях — справку о наличии (отсутствии) судимости и (или) факта уголовного преследования; а также и иные документы (как в случаях, предусмотренных иными федеральными законами, указами Президента и постановлениями Правительства, так и предъявляемые работником по соглашению с работодателем (и, как правило, по просьбе работодателя)). Так, например, в некоторых случаях работники предоставляют работодателю биометрические (физиологические и биологические особенности человека) данные своей личности (как пример — профессиональные спортсмены) или сведения о состоянии своего здоровья. Такие виды информации также относятся к персональным данным работников и подлежат особой правовой защите. При этом нередко у работодателя хранятся оригиналы или копии указанных документов, в том числе в личных делах работников в соответствующем подразделении организации, ведущем кадровую работу. Кроме того, ст. 57 ТК указывает, что непосредственно в трудовом договоре должны быть указаны фамилия, имя, отчество работника; сведения об удостоверяющих личность работника документах.
Таким образом, применительно к трудовым правоотношениям к персональным данным работника, обрабатываемым работодателем, следует относить следующие сведения в отношении работника: паспортные данные; сведения об образовании; сведения о занимаемой должности; сведения о заработной плате; сведения о трудовом и страховом стаже; сведения о членах семьи; сведения о воинском учете; адрес места жительства; номер личного телефона или другие контактные данные; сведения о состоянии здоровья; сведения о наличии иностранного гражданства; сведения о наличии судимости и др. При этом следует особо подчеркнуть, что по общему правилу работодатель не вправе требовать, получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических, религиозных или иных убеждениях, запрашивать сведения о частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, что закреплено, в частности, в ст. 6 Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г.
Однако на практике нередко указанный перечень документов, содержащих в себе персональные данные работников, расширяется. Так, например, для перечисления заработной платы на банковский счет работника последний предоставляет работодателю реквизиты этого банковского счета; обычно для выполнения обязанностей работодателя по ежемесячному перечислению налога на доходы физических лиц (НДФЛ) своих работников он просит предоставить ему индивидуальный номер налогоплательщика (ИНН) работника; кроме того, во многих организациях в целях оформления пропуска для права прохода на территорию работодателя работники предоставляют свои биометрические данные — личную фотографию.
Помимо указанных случаев, существуют ситуации, в которых работник вынужден сообщать работодателю личную информацию о себе в целях соблюдения работодателем трудовых прав работника даже тогда, когда работник не имеет желания эти сведения раскрывать. В качестве наиболее ярких примеров можно рассматривать ситуации, когда беременная женщина сообщает работодателю о своей беременности в целях установления ей режима неполного рабочего времени или предоставления отпуска по беременности и родам; работники-инвалиды сообщают о своей инвалидности работодателю для соблюдения им установленных для соответствующих категорий работников гарантий; ст. 214 ТК обязывает работников немедленно извещать своего непосредственного или вышестоящего руководителя об ухудшении состояния своего здоровья, в том числе о проявлении признаков острого профессионального заболевания (отравления), а такая информация также относится к персональным данным работника, и другие случаи. Пункт 2 Указа Президента РФ от 18 мая 2009 г. № 559 «О предоставлении гражданами, претендующими на замещение должностей федеральной государственной службы, и федеральными государственными служащими сведений о доходах, об имуществе и обязательствах имущественного характера» возлагает на граждан, претендующих на замещение должности государственной службы, предусмотренной перечнем должностей, утвержденным Указом Президента РФ от 19 мая 2009 г. № 557, и на федерального государственного служащего, замещающего должность государственной службы, обязанность представлять сведения о доходах, об имуществе и обязательствах имущественного характера, а п. 4 предусматривает обязанность предоставлять сведения о доходах супруги (супруга) и несовершеннолетних детей, полученных от всех источников. Непредставление указанных сведений является основанием для увольнения работника по инициативе работодателя в соответствии с п. 7.1 ч. 1 ст. 81 ТК. То есть в определенных установленных законом случаях работники предоставляют работодателю персональные данные, касающиеся не только их личности, но и личности членов семьи работника.
В качестве отдельного вида биометрических персональных данных работника можно рассматривать такие свойства личности, как уникальность и неповторимость отпечатков пальцев человека. Федеральный закон от 25 июля 1998 г. № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» устанавливает, что обязательной дактилоскопической регистрации подлежит достаточно широкий перечень категорий работников, среди которых можно выделить следующие: военнослужащие; граждане России, проходящие службу в органах внутренних дел, органах по контролю за оборотом наркотических средств и психотропных веществ; в органах государственной налоговой службы; органах по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий; органах и подразделениях службы судебных приставов; таможенных органах; органах государственной охраны; учреждениях и органах уголовно-исполнительной системы; Государственной противопожарной службе; члены экипажей воздушных судов государственной, гражданской и экспериментальной авиации Российской Федерации; спасатели профессиональных аварийно-спасательных служб и профессиональных аварийно-спасательных формирований Российской Федерации и некоторые другие.
Статья 179 ТК при определении права на преимущественное оставление на работе указывает, что при равной производительности труда и квалификации предпочтение в оставлении на работе отдается семейным при наличии двух или более иждивенцев (нетрудоспособных членов семьи, находящихся на полном содержании работника или получающих от него помощь, которая является для них постоянным и основным источником средств к существованию); лицам, в семье которых нет других работников с самостоятельным заработком; работникам, получившим в период работы у данного работодателя трудовое увечье или профессиональное заболевание; инвалидам Великой Отечественной войны и инвалидам боевых действий по защите Отечества; работникам, повышающим свою квалификацию по направлению работодателя без отрыва от работы. Возникновение такого преимущественного права работника возможно только в случае предоставления им соответствующих подтверждающих документов, и на такие сведения будет распространяться режим защиты персональных данных работника (режим конфиденциальности).
Как правило, сведения, относящиеся к персональным данным работника, хранятся в его личном деле. В обязательном порядке личные дела заводятся и ведутся в отношении государственных гражданских служащих по их месту работы. Однако ведение личных дел работников на практике нередко производится и в коммерческих организациях, хотя действующим законодательством такая обязанность не предусматривается. Порядок ведения и хранения личных дел работников обычно устанавливается локальным нормативным актом такой организации. Как правило, личные дела работников содержат в себе копии (а в некоторых случаях и оригиналы) документов, предоставляемых работником при приеме на работу, и иные документы, связанные с его трудовой деятельностью у данного работодателя. Нередко работников при приеме на работу просят заполнить анкету, которая обычно включает в себя информацию о частной жизни работника, фотографию, информацию о его интересах, семейном положении, членах семьи. Предоставление таких сведений работником является добровольным, и на них распространяются положения законодательства о защите персональных данных работников. В некоторых случаях личные дела сотрудников могут содержать не только сведения, предоставленные работником, но и информацию, добавляемую в них работодателем, например характеристику на сотрудника. Такая характеристика также относится к персональным данным работника.
Обработка персональных данных работников
В трудовых правоотношениях работодатель выступает в качестве оператора персональных данных, т. е. юридического или физического лица, самостоятельно или совместно с другими лицами организующего и (или) осуществляющего обработку персональных данных, а также определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Федерального закона «О персональных данных»).
Обработка персональных данных представляет собой любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка персональных данных работника возможна как с использованием средств автоматизации, так и без использования таких средств. При этом существует необходимость обособления этих категорий персональных данных. Порядок обработки персональных данных работников, осуществляемый без использования средств автоматизации, регулируется постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
В настоящее время широкое распространение получает автоматизированная обработка персональных данных, т. е. их обработка с помощью средств вычислительной техники. Осуществляя такую обработку, работодатель обязан руководствоваться постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Необходимо иметь в виду, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Кроме того, в силу п. 6 ст. 86 ТК при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Не стоит забывать и о том, что, осуществляя действия по обработке персональных данных работника с использованием средств автоматизации, в частности компьютерной техники, на работодателя распространяются положения Федерального закона от 27 июня 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Следует особенно подчеркнуть, что обработка любой информации, относящейся к персональным данным работника, по общему правилу допускается только с согласия субъекта персональных данных, т. е. самого работника. Хотя по смыслу ч. 1 ст. 9 Федерального закона «О персональных данных» согласие субъекта на обработку персональных данных может быть дано в любой позволяющей подтвердить факт его получения форме, представляется, что в трудовых правоотношениях такое согласие должно быть оформлено в письменном виде путем составления отдельного документа либо может быть включено в качестве одного из условий непосредственно в трудовой договор. При этом для работников, осуществляющих трудовую деятельность дистанционно, положения ст. 312.1 и 312.2 ТК позволяют дать такое согласие с использованием электронно-цифровой подписи работника посредством, например, сети Интернет. Обязательным условием такого согласия, помимо прочего, является сам перечень персональных данных, на обработку которых субъект дает свое согласие.
Последствием несоблюдения письменной формы согласия работника на обработку его персональных данных будет запрет на все виды обработки и использования таких сведений. Кроме того, закон предусматривает право субъекта в любой момент отозвать свое согласие на обработку персональных данных.
В соответствии со ст. 5 Федерального закона «О персональных данных» можно выделить следующие принципы обработки персональных данных.
1. Обработка персональных данных на законной и справедливой основе. Суть этого принципа заключается в том, что при осуществлении всех действий по обработке персональных данных работников работодатель обязан руководствоваться положениями действующего законодательства и локальными нормативными актами организации, которые не должны противоречить установленным законодательством о персональных данных основам. Таким образом, свобода действий сторон, прежде всего оператора персональных данных, допускается только в установленных законом пределах.
2. Ограничение обработки персональных данных достижением заранее определенных законных целей. При этом обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается. Смысл данного принципа заключается в том, что не допускаются произвольное истребование и обработка персональных данных от субъекта, само требование о предоставлении персональных данных должно иметь под собой законные основания и, как обязательное условие, обоснованные цели их предоставления и обработки.
3. Запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях. Исходя из анализа указанного принципа можно сделать вывод о том, что оператор персональных данных обязан производить сортировку персональных данных своих работников в зависимости от цели их обработки и, кроме того, осуществлять обособленное (раздельное) хранение и использование таких данных. Другими словами, если работодателю потребуется произвести какие-либо действия с персональными данными конкретной категории, например в целях уплаты страховых взносов за своих работников в Пенсионный фонд
России, то он должен осуществлять доступ только к таким персональным данным работника, которые соответствуют цели уплаты страховых взносов, а не к любым персональным данным работников.
4. Обработке подлежат только те персональные данные, которые отвечают целям их обработки. По общему правилу при осуществлении обработки персональных данных работников работодатель обязан ознакомить работника с целями их обработки, при необходимости дать разъяснения относительно таких целей, а запрос на предоставление персональных данных работника должен быть мотивированным, отвечающим требованиям сбора и обработки таких данных.
5. Обрабатываемые персональные данные работника должны соответствовать целям их обработки по объему и содержанию. Запрещается требовать избыточные по отношению к целям их обработки персональные данные. Данный принцип обработки персональных данных тесно соотносится с предыдущим и дополнительно указывает оператору персональных данных на недопустимость требования излишних сведений от работника, которые охватывают собой более широкие области, нежели это необходимо для целей их обработки. Практическое применение данного принципа заключается в возможности отказа работника предоставлять избыточные персональные данные для указанной работодателем цели их обработки.
6. Обеспечение точности, достаточности и актуальности персональных данных при их обработке, обязанность оператора обеспечивать принятие, удаление или уточнение неполных или неточных данных. Для достижения законных целей обработки персональных данных работник должен предоставлять работодателю точные сведения, т. е. соответствующую действительности актуальную информацию. Если в процессе трудовых отношений имеющиеся у работодателя персональные данные работника нуждаются в уточнении, дополнении или актуализации, то осуществление таких действий допускается по требованию работника или мотивированному запросу от работодателя. При этом на работников в данном случае распространяется общеправовой принцип запрета злоупотребления правом.
7. Осуществление хранения персональных данных, позволяющих индивидуализировать субъекта персональных данных, не дольше, чем этого требуют цели обработки или срок хранения, установленный законом либо договором. Обязательность уничтожения либо обезличивания персональных данных в случае достижения целей их обработки или утраты необходимости достижения таких целей. Наличие целей обработки и хранения персональных данных подразумевает возможность их достижения. Важным принципом является обязанность работодателя прекратить обработку и хранение персональных данных работников, а также произвести их удаление в случае достижения тех целей, для которых производилась их обработка. Например, в случае прекращения трудовых отношений с работником и оформления процедуры его увольнения по общему правилу работодатель обязан обезличить либо уничтожить такие персональные данные, так как цели их обработки достигнуты. То же самое можно утверждать и в отношении соискателей, т. е. лиц, ищущих работу и обращавшихся к работодателю в целях трудоустройства (кандидатов в приеме на работу). На практике в процессе переговоров по трудоустройству соискатели предоставляют работодателю определенные сведения о своей личности: фамилию, имя, отчество; сведения об образовании, квалификации, опыте работы; в некоторых случаях сведения о состоянии здоровья, семейном положении; заполняют анкеты и др. При этом соискатели точно так же должны предоставлять согласие на сбор и обработку таких персональных данных. Однако в случае отказа в приеме на работу, который может быть мотивирован в том числе и на отдельных персональных данных работника (образование, опыт работы и т. д.), как следует из указанного принципа, работодателю следует обезличить или удалить такие персональные данные соискателя, так как цели их сбора и обработки достигнуты. То есть отношения по обработке персональных данных могут возникнуть и в период трудоустройства.
Права субъекта персональных данных. Статья 89 ТК, а также ст. 14 Федерального закона «О персональных данных» устанавливают следующие права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя:
- право на полную информацию о своих персональных данных и обработке этих данных. Данное право включает в себя также право работника требовать от работодателя разъяснения целей и правовых оснований обработки персональных данных. Работник также вправе запрашивать от работодателя сведения о лицах, имеющих доступ к персональным данным, и о лицах, которым такая информация может быть раскрыта. Кроме того, по требованию работника работодатель обязан сообщить сроки обработки персональных данных, включая сроки их хранения;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
- определение своих представителей для защиты своих персональных данных;
- доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.
Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- работник имеет право в любой момент отозвать свое согласие на обработку персональных данных, при этом работодатель обязан прекратить их обработку или обеспечить такое прекращение;
- обжаловать в суде любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных. В силу п. 9 ст. 86 ТК работники не должны отказываться от своих прав на сохранение и защиту тайны, которую составляют персональные данные работников.
Исходя из анализа ст. 19 Федерального закона «О персональных данных» и ст. 86 ТК можно выделить следующие обязанности оператора (работодателя) при обработке персональных данных работника.
1. В первую очередь работодатель обязан осуществлять ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства, требованиями к защите персональных данных, локальными нормативными актами, а остальных работников — с действующим в организации локальным нормативным актом, регулирующим обработку персональных данных работников данной организации. В соответствии с правилами ч. 3 ст. 68 ТК такое ознакомление должно производиться по общему правилу при приеме на работу (до подписания трудового договора) одновременно с ознакомлением работника с иными локальными нормативными актами организации. При этом работник должен быть ознакомлен с таким документом под роспись. Наличие в законе соответствующих положений указывает на обязанность работодателя принять в организации локальный нормативный акт, посвященный обработке персональных данных работников, что вытекает также из смысла ст. 88 ТК и подтверждается сложившейся судебной практикой по обращению работников организации или прокурора в защиту интересов работников организации с требованием обязать работодателей разработать и принять соответствующий локальный нормативный акт. Кроме того, как указывает п. 10 ст. 86 ТК, меры защиты персональных данных работников должны вырабатываться совместно работодателем, работниками и их представителями.
2. Работодатель вправе обрабатывать персональные данные работников исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
При этом не допускается получение избыточных персональных данных или персональных данных, не соответствующих целям их обработки. Во всех случаях сбора и обработки персональных данных работодатель должен сообщать работнику цели таких действий. Как уже указывалось в настоящей главе, по общему правилу в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных. В случае отказа работодателя по требованию работника внести изменения в персональные данные или уничтожить их такой отказ возможно обжаловать в судебном порядке.
3. Работодатель в соответствии со ст. 19 Федерального закона «О персональных данных» обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Кроме того, работодатель обязан обеспечить внутренний контроль и (или) аудит соответствия обработки персональных данных действующему законодательству и регулирующих этот вопрос локальным нормативным актам организации. Указанные мероприятия должны производиться работодателем за счет его собственных средств. В соответствии с постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Кроме того, в указанном документе установлены необходимые уровни защищенности персональных данных в соответствии с типологией угроз информационной системы при автоматизированной обработке персональных данных.
4. Все персональные данные работника работодатель должен получать у него самого.
Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие на такие действия. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Необходимо иметь в виду, что в некоторых случаях отказ работника на обработку своих персональных данных может нести негативные последствия для него самого: от непредоставления работнику предусмотренных законодательством льгот и гарантий и вплоть до отказа в приеме на работу. Статья 86 ТК также устанавливает запрет на получение и обработку работодателем персональных данных работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, в которых законодательство позволяет это делать.
5. Оператор обязан внести изменения в персональные данные по заявлению субъекта в случае предоставления им сведений о том, что персональные данные являются неполными, неточными или неактуальными, и уведомить о таком изменении субъекта, а также незамедлительно удалить персональные данные субъекта по его требованию.
Федеральный закон «О персональных данных» допускает возможность оператора персональных данных (работодателя) передать полномочия по обработке персональных данных иным лицам, уполномоченным на такие действия работодателем на основании гражданско-правового договора, однако такие действия допускаются только с согласия субъекта персональных данных. При этом ответственность за обработку персональных данных перед субъектом все равно будет нести непосредственно оператор.
При обработке персональных данных, обрабатываемых в связи с трудовым законодательством, закон освобождает работодателя, в отличие от иных операторов персональных данных, от обязанности проводить такие действия с уведомлением уполномоченного органа по защите прав субъектов персональных данных. При этом работодатель, являющийся юридическим лицом, обязан назначить ответственное за организацию обработки персональных данных лицо.
Как уже указывалось в настоящей главе, Положение об обработке персональных данных является обязательным документом, который должен быть разработан и утвержден работодателем (как юридическим лицом, так и индивидуальным предпринимателем). При этом на основании ст. 22 ТК работодатель обязан ознакомить всех работников организации (как работающих, так и принимаемых на работу вновь) с таким Положением (локальным нормативным актом). Соответственно, осуществлять все действия по обработке персональных данных работодатель должен на основании такого Положения. При этом можно сделать вывод о том, что отсутствие локального нормативного акта об обработке персональных данных нарушает закрепленные в ст. 88 ТК права работников относительно порядка обработки их персональных данных. Таким образом, если работодатель не принимает указанный локальный нормативный акт, его можно обязать совершить данные действия в судебном порядке, а также привлечь к административной ответственности в соответствии со ст. 5.27 КоАП РФ.
Положение об обработке персональных данных должно устанавливать:
- структурные подразделения или непосредственные должности, осуществляющие обработку и хранение персональных данных работников;
- процедуру хранения персональных данных сотрудников (на электронных или бумажных носителях) в порядке, исключающем их утрату или их неправомерное использование;
- порядок доступа к персональным данным сотрудников;
- порядок и случаи уничтожения персональных данных работников;
- сроки хранения документов, содержащих персональные данные работников;
- дополнительные меры, направленные на защиту персональных данных работников.
В некоторых организациях могут действовать локальные нормативные акты о коммерческой, служебной или банковской тайне. Наличие таких локальных нормативных актов не освобождает работодателя от обязанности принять положение, посвященное работе с персональными данными своих сотрудников. В целях соблюдения законности при работе с персональными данными, а также эффективности их использования и минимизации возникновения спорных ситуаций работодателю следует фиксировать все действия, осуществляемые с персональными данными работников, в специальном журнале учета.
Передача персональных данных работников
В соответствии с положениями действующего законодательства хранение персональных данных должно обеспечиваться в порядке, исключающем их утрату или неправомерное использование. Как уже указывалось в рамках настоящей главы, персональные данные своих работников работодатель получает не просто так: они необходимы для их использования работодателем, соответствующего законным целям их обработки. По общему правилу, если персональные данные работников не используются работодателем, они должны быть либо обезличены, либо уничтожены.
Использование персональных данных работников работодателем допускается только в целях, для которых они были получены. Понятие использования персональных данных закреплено в п. 5 ст. 3 Федерального закона «О персональных данных». Под использованием персональных данных понимаются действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
По общему правилу, закрепленному в ст. 7 Федерального закона «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не передавать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.
Распространение персональных данных означает действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Статья 88 ТК устанавливает следующие требования при передаче персональных данных работника.
1. Персональные данные работника не могут быть сообщены третьей стороне без письменного согласия на то работника. Исключение составляют случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК или иными федеральными законами. При этом на практике, как правило, письменное согласие работника на обработку его персональных данных работодателем обычно содержит в себе перечень того, кому и при каких обстоятельствах персональные данные могут быть раскрыты. Таким образом, зачастую работник дает согласие на сообщение работодателем своих персональных данных третьим лицам при подписании согласия на обработку своих персональных данных. В качестве отдельного вида передачи персональных данных работников указанная статья рассматривает сообщение персональных данных работника в коммерческих целях. В силу прямого указания закона такая передача возможна исключительно с письменного согласия работника.
2. При передаче персональных данных работодатель обязан предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. На получающих персональные данные работника лиц распространяется режим конфиденциальности (запрета распространения) таких сведений.
3. При передаче персональных данных работника в пределах одной организации (у одного индивидуального предпринимателя) работодателю следует руководствоваться локальным нормативным актом, регулирующим порядок обработки персональных данных работников.
4. При работе с персональными данными, в том числе их передаче, работодатель вправе разрешать доступ к ним только специально уполномоченных лиц. Такие специально уполномоченные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
5. Статья 88 ТК устанавливает запрет работодателя запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции. При этом такой запрос должен быть мотивированным, т. е. у работодателя должны быть реальные основания полагать, что работник в силу состояния своего здоровья не способен выполнять порученную ему трудовую функцию.
6. Отдельно ст. 88 ТК регулирует вопросы передачи работодателем персональных данных работника представителям работников и ограничивает возможность передачи персональных данных только теми, которые необходимы для выполнения указанными представителями их функций. Подразумевается, что при этом представительный орган работников должен запросить от работодателя персональные данные работника.
Однако есть ситуации, в которых передача персональных данных работников требуется на основании закона и допускается при отсутствии согласия работника. В качестве примера можно привести следующие случаи.
В трудовых правоотношениях работодатель является налоговым агентом своих работников, т. е. удерживает из заработной платы своих работников налог на доходы физических лиц в размере 13% и ежемесячно производит его уплату. Таким образом, работодатель раскрывает органам Федеральной налоговой службы размер заработной платы своих работников, который относится к персональным данным работников.
В соответствии со ст. 11 Федерального закона от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» работодатель обязан предоставлять в органы Пенсионного фонда РФ следующие сведения о каждом работающем у него застрахованном лице: фамилию, имя, отчество; страховой номер индивидуального лицевого счета; дату приема на работу; дату увольнения; периоды деятельности, включаемые в стаж на соответствующих видах работ, определяемый особыми условиями труда, работой в районах Крайнего Севера и приравненных к ним местностях; сумму заработка (дохода), на который начислялись страховые взносы обязательного пенсионного страхования; сумму начисленных страховых взносов обязательного пенсионного страхования и другие сведения.
Согласно ч. 3 ст. 64.1 ТК, работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в 10-дневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами Российской Федерации.
Статья 25 Закона РФ «О занятости населения в Российской Федерации» обязывает работодателей заблаговременно сообщать в органы службы занятости о своем решении о ликвидации организации или о сокращении численности или штата работников, которые могут привести в том числе и к массовому увольнению работников.
Статья 98 Федерального закона «Об исполнительном производстве» от 2 октября 2007 г. № 229-ФЗ устанавливает возможность судебного пристава — исполнителя обращать взыскание на заработную плату должника-гражданина. При этом работодатель обязан будет производить удержания из заработной платы по требованию судебного пристава — исполнителя или взыскателя. При этом размеры удержаний, производимых из заработной платы работников, установлены ст. 138 ТК. Таким образом, судебный пристав — исполнитель в установленных законодательством случаях вправе собирать сведения о гражданах-должниках, относящихся к их персональным данным, прежде всего о месте работы и размере заработной платы.
Существуют также и другие случаи, когда работодатели на основании законов и иных нормативных актов обязаны раскрывать государственным органам информацию, относящуюся к персональным данным работников. Наличие в законодательстве таких обязательств работодателя подразумевает тот факт, что работники будут передавать работодателю достоверную информацию о своей личности, так как в противном случае это может повлечь неблагоприятные последствия для самого работника.
В последнее время все больше набирает актуальность вопрос трансграничной передачи персональных данных, что означает передачу сведений, составляющих персональные данные работника, на территории иностранных государств. В современном обществе в условиях высокого уровня развития телекоммуникационных технологий все чаще можно встретить случаи передачи персональных данных работников представительств иностранных компаний на территории Российской Федерации через границу, как правило, в место нахождения головной иностранной организации. Возможность трансграничной передачи персональных данных устанавливается Конвенцией Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» 1981 г.
При использовании трансграничной передачи персональных данных работников в силу положений ст. 12 Федерального закона «О персональных данных» оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. Кроме того, трансграничная передача персональных данных работников допускается только с письменного согласия субъекта персональных данных непосредственно на трансграничную передачу его персональных данных. По требованию работника работодатель также обязан предоставить ему информацию об уже осуществленной либо планируемой трансграничной передаче персональных данных.
Однако Федеральным законом от 21 июля 2014 г. № 242-ФЗ (с изменениями от 31 декабря 2014 г.) с 1 сентября 2015 г. внесены изменения в ч. 5 ст. 18 Федерального закона «О персональных данных»: при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона «О персональных данных». Таким образом, хранение персональных данных граждан России за рубежом с 1 сентября 2015 г. не допускается.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
Право граждан на неприкосновенность частной жизни в трудовых правоотношениях обеспечено возможностью привлечения к ответственности лиц, виновных в нарушении законодательства об охране персональных данных работника. Статья 90 ТК устанавливает возможность привлечения к ответственности виновных в таких действиях лиц и виды такой ответственности. Так, лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, могут привлекаться к дисциплинарной (порядок привлечения к дисциплинарной ответственности установлен ст. 192–193 ТК) и материальной ответственности (порядок привлечения к материальной ответственности установлен ст. 234–248 ТК), а также к гражданско-правовой, административной и уголовной ответственности в установленных законом случаях.
В соответствии с ч. 2 ст. 17 Федерального закона «О персональных данных» субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Следует иметь в виду, что к ответственности за нарушение законодательства в области защиты персональных данных работников может быть привлечен как непосредственно оператор персональных данных (работодатель), так и работники организации при наличии обязанности этих работников о неразглашении таких конфиденциальных сведений. При этом для работников, разгласивших персональные данные другого работника, установлен специальный вид дисциплинарной ответственности — увольнение по инициативе работодателя в соответствии с п. «в» ч. 6 ст. 81 ТК, т. е. за однократное грубое нарушение работником своих трудовых обязанностей. При этом, как указывает п. 43 постановления Пленума Верховного Суда РФ от 17 марта 2004 г. № 2, применение указанного основания увольнения возможно лишь в том случае, если работник обязывался не разглашать такие сведения. При этом условие об обязанности работника не разглашать ставших ему известными в процессе трудовой деятельности персональных данных другого работника должно содержаться в виде отдельного соглашения либо пункта в трудовом договоре. Поскольку увольнение работника по инициативе работодателя является правом, а не обязанностью работодателя, то виновных в разглашении персональных данных работников по усмотрению работодателя возможно привлечь к иным видам дисциплинарной ответственности, установленным в ст. 193 ТК. Кроме того, работников (как физических лиц) за разглашение персональных данных других работников возможно привлечь к материальной или уголовной ответственности.
Привлечение виновного в разглашении персональных данных работника или работодателя к уголовной ответственности возможно в случае совершения ими деяний, предусмотренных следующими статьями Уголовного кодекса РФ: нарушение неприкосновенности частной жизни — ст. 137 УК РФ; нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений — ст. 138 УК РФ; незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, — ст. 183 УК РФ; неправомерный доступ к компьютерной информации — ст. 272 УК РФ; нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей — ст. 274 УК РФ.
Кодекс РФ об административных правонарушениях предусматривает следующие составы административных правонарушений в области защиты персональных данных работников со стороны как работников, так и работодателей: неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации (ст. 5.39 КоАП РФ); нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ); нарушение правил и требований защиты информации (ст. 13.12 КоАП РФ); незаконная деятельность в области защиты информации (ст. 13.13 КоАП РФ); разглашение информации с ограниченным доступом (ст. 13.14 КоАП РФ).
Неиздание работодателем локального нормативного акта, которым будет установлен порядок обработки персональных данных работников организации, исходя из сложившейся практики, рассматривается как состав административного правонарушения, предусмотренный ст. 5.27 КоАП РФ (нарушение законодательства о труде).
На основании ч. 2 ст. 17 Федерального закона «О персональных данных» непосредственно субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Следует иметь в виду, что во всех случаях нарушения работодателем законодательства о защите персональных данных работника последний на основании ст. 237 ТК вправе требовать возмещения морального вреда в денежной форме в размерах, определяемых соглашением сторон трудового договора. В случае возникновения спора факт причинения работнику морального вреда и размеры его возмещения определяются судом независимо от подлежащего возмещению имущественного ущерба.
При этом споры о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника разрешаются в судах общей юрисдикции в соответствии со ст. 391 ТК и не могут быть предметом рассмотрения комиссии по трудовым спорам. Как указывает ч. 6.1 ст. 29 Гражданского процессуального кодекса РФ, иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться в суд по месту жительства истца.