Глава 14. Защита персональных данных работника
Статья 85. Утратила силу
Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
КОММЕНТАРИЙ
1. Для упорядочения работы с персональными данными работников работодатели должен разработать и принять в качестве локальных нормативных актов положение о персонале и (или) положение о порядке обработки персональных данных работников организации, индивидуального предпринимателя. С этими и иными документами работодателя, определяющими порядок обработки персональных данных работников, работодатель обязан ознакомить под роспись работников и их представителей.
2. Комментируемая статья определяет общие требования при обработке персональных данных работника. При этом работодателям следует руководствоваться не только нормами гл. 14 «Защита персональных данных работника» ТК РФ, но и нормами ФЗ «О персональных данных». Так, в соответствии со ст. 5 указанного Закона обработка персональных данных должна осуществляться на основании принципов:
● законности целей и способов обработки персональных данных и добросовестности;
● соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
● соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
● достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
● недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
3. Работодатель при формировании информации о работнике вправе включать в нее следующие сведения:
● сведения из документов, которые работник предъявляет работодателю при заключении трудового договора (приеме на работу). Это могут быть сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность работника; сведения из трудовой книжки, документов об образовании, квалификации или специальной подготовки; сведения из страхового свидетельства государственного пенсионного страхования; сведения из документов воинского учета и медицинского осмотра (обследования) работника и др.;
● сведения, создаваемые и накапливаемые работодателем в период выполнения работником своей трудовой функции в соответствии с трудовым договором. Это сведения, содержащиеся в личном деле работника, в различного рода приказах, связанных с трудовой деятельностью работника; сведения о повышении квалификации работника, об окончании курсов подготовки и получении им другой специальности; сведения об обучении работника безопасным условиям труда; различного рода аттестационные материалы на работника и т. п.
Все персональные данные работника работодатель (его представитель) должен получать от самого работника. Как указано в ст. 9 ФЗ «О персональных данных», субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев обязательного предоставления этих данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Применительно к трудовым отношениям обработка персональных данных работника должна осуществляться в целях:
● обеспечения соблюдения законов и иных нормативных правовых актов;
● содействия работникам в трудоустройстве, обучении и продвижении работников по службе;
● обеспечения личной безопасности работников;
● контроля количества и качества выполняемой работы;
● обеспечения сохранности имущества.
Получение персональных данных работника у третьих лиц возможно только с его письменного согласия.
Работодателю не дано право получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и о частной жизни, а также о его членстве в общественных объединениях или о его профсоюзной деятельности.
4. Следует обратить внимание, что в случаях, предусмотренных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства могут устанавливаться требования предъявления при поступления на работу дополнительных документов. Так, гражданин, поступающий на гражданскую службу, при заключении служебного контракта должен предъявить представителю нанимателя в соответствии с п. 2 ст. 26 ФЗ «О государственной гражданской службе Российской Федерации» более широкий перечень документов, в сравнении с теми, которые должны предъявляться при заключении трудового договора (ст. 65 ТК РФ).
Федеральным законом от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» установлено, что в отношении некоторых лиц, претендующих на замещение определенных должностей проводится обязательная дактилоскопическая регистрация.
Перечень должностей, на которых проходят службу граждане Российской Федерации, подлежащие обязательной государственной дактилоскопической регистрации утвержден постановлением Правительства РФ от 06.04.1999 № 386.
5. Работодатель должен принимать меры к защите персональных данных работника от неправомерного их использования. Эти меры работодатель должен осуществлять за счет собственных средств. При разработке локальных нормативных актов (положений) о персонале и (или) положений о порядке обработки персональных данных работников организаций, индивидуальных предпринимателей работодатели, работники и их представители должны предусматривать меры защиты персональных данных работников.
Статья 87. Хранение и использование персональных данных работников
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.
КОММЕНТАРИЙ
1. В комментируемой статье указывается, что работодатель обязан устанавливать порядок хранения и использования персональных данных работников на основании требований ТК РФ и иных федеральных законов.
В соответствии со ст. 7 ФЗ «О персональных данных» операторы и третьи лица, получившие (получающие) доступ к персональным данным, должны обеспечивать конфиденциальность таких данных.
В локальном нормативном акте, определяющем порядок получения, обработки, хранения и использования персональных данных работника, должен быть определен круг лиц, имеющих право работы с этими данными.
2. В пункте 2 ст. 5 ФЗ «О персональных данных» указано, что хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Работодатель обязан в соответствии с постановлением Государственного комитета РФ по статистике от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты» обеспечить хранение документов по учету кадров, учету использования рабочего времени и расчетов с персоналом по оплате труда.
В крупных организациях возможно введение должности специалиста (главного специалиста) по хранению и защите информации, который выполняет следующие функции:
● руководит выполнением работ по комплексной защите информации;
● участвует в работе по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации;
● выполняет весь комплекс (в том числе особо сложных) работ, связанных с контролем и защитой информации, на основе разработанных программ и методик;
● обеспечивает контроль за выполнением требований нормативно-технической документации, за соблюдением установленного порядка выполнения работ, а также действующего законодательства при решении вопросов, касающихся защиты информации;
● координирует деятельность подразделений и специалистов по защите информации в организации;
● другие функции, указанные в разделе «Главный специалист по защите информации» Квалификационного справочника должностей руководителей, специалистов и других служащих, утв. постановлением Минтруда России от 21.08.1998 № 37.
Поскольку подпунктом «в» п. 6 ч. 1 ст. 81 ТК РФ в качестве основания расторжения трудового договора по инициативе работодателя предусмотрено разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника, то в трудовых договорах с лицами, имеющими доступ к персональным данным работников, необходимо указывать как одно из условий договора – обязанность неразглашения персональных данных других работников.
Статья 88. Передача персональных данных работника
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;
осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
КОММЕНТАРИЙ
1. Комментируемая статья устанавливает определенные требования, которые работодатель должен обязательно выполнять при передаче персональных данных работника.
В случае возникновения необходимости передачи персональных данных работника третьей стороне, работодатель обязан получить на это согласие работника в письменной форме. Исключение могут составлять случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.
Так, например, в соответствии со ст. 212 ТК РФ работодатель обязан предоставлять органам, осуществляющим контроль и надзор за соблюдением законодательства об охране труда, информацию и документы, необходимые для осуществления ими своих полномочий. В такую информацию могут при необходимости включаться и персональные данные работников.
Соответствующие федеральные конституционные законы и федеральные законы предусматривают право компетентных должностных лиц требовать от граждан, юридических лиц, должностных лиц органов местного самоуправления и органов государственной власти, общественных организаций предоставления необходимой им для служебной деятельности информации:
Например, ФЗ от 31.12.1996 № 1-ФКЗ «О судебной системе Российской Федерации»; ФЗ от 21.07.1997 № 118-ФЗ «О судебных приставах»; ФЗ от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности» и др.
В соответствии со ст. 8 ФЗ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» страхователи представляют в соответствующий орган Пенсионного фонда РФ сведения о всех лицах, работающих у них по трудовому договору, а также заключивших договоры гражданско-правового характера, на вознаграждения по которым в соответствии с законодательством Российской Федерации начисляются страховые взносы, за которых они уплачивают страховые взносы.
Физические лица, самостоятельно уплачивающие страховые взносы, сами представляют сведения о себе в органы Пенсионного фонда РФ по месту своей регистрации в качестве страхователей.
Указанные сведения могут представляться как в виде документов в письменной форме, так и в электронной форме (на магнитных носителях или по каналам связи) при наличии гарантий их достоверности и защиты от несанкционированного доступа и искажений. В этом случае юридическая сила представленных документов должна подтверждаться электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Страхователи (работодатели) согласно ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний» обязаны собирать и представлять за свой счет страховщику (Фонду социального страхования РФ) в установленные страховщиком сроки документы (их заверенные копии), являющиеся основанием для начисления и уплаты страховых взносов, назначения обеспечения по страхованию, и иные сведения, необходимые для осуществления обязательного социального страхования от несчастных случаев на производстве и профессиональных заболеваний.
2. Персональные данные некоторых категорий работников находятся на особом режиме. Так, согласно п. 11 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утв. указом Президента РФ от 30.05.2005 № 609, персональные данные, внесенные в личные дела гражданских служащих, иные сведения, содержащиеся в личных делах гражданских служащих, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, – к сведениям, составляющим государственную тайну.
Передача персональных данных гражданского служащего третьей стороне не допускается без письменного согласия гражданского служащего, за исключением случаев, установленных федеральным законом.
3. Работодатель обязан предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. При этом законодатель устанавливает, что передача персональных данных в пределах одной организации, у одного индивидуального предпринимателя должна производиться только на основании соответствующего локального нормативного акта, и работник должен быть с этим актом ознакомлен под роспись. Кроме того, доступ к персональным данным работников должен быть разрешен только специально уполномоченным лицам и только к тем персональным данным работников, которые необходимы для конкретных целей, установленных в указанном локальном нормативном акте.
4. Согласно ст. 10 ФЗ «О персональных данных» обработка специальных категорий персональных данных, касающихся состояния здоровья, не допускается, за исключением случаев, предусмотренных данным Законом. Применительно к трудовым отношениям работодатель вправе запросить у работника информацию о состоянии его здоровья для решения вопроса о возможности выполнения работником трудовой функции. В этих же целях закон обязывает в установленных случаях производить предварительные и периодические медицинские осмотры (обследования) (см. комментарий к ст. 213 ТК РФ).
5. Работодатель не должен передавать все персональные данные работников представителям этих работников, а передавать только ту информацию, которая необходима представителям работников для выполнения ими их функций.
Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
полную информацию об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
КОММЕНТАРИЙ
В соответствии с комментируемой статьей в целях защиты персональных данных, хранящихся у работодателя, работники наделены определенными правами.
Положения комментируемой статьи основаны на нормах ст. 8 ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и гл. 3 «Права субъекта персональных данных» ФЗ «О персональных данных», которые носят более общий характер.
Так, согласно ст. 14 ФЗ «О персональных данных» субъект персональных данных (применительно к комментируемой статье – работник) имеет право на получение сведений о наличии у оператора (применительно к комментируемой статье – представителя работодателя) персональных данных, относящихся к нему (работнику), а также на ознакомление с такими персональными данными.
Комментируемая статья также обеспечивает работникам или их представителям право получать от работодателя или его представителя полную информацию об их персональных данных и обработке этих данных, включая информацию о передаче и целях такой передачи персональных данных третьим лицам.
Работодатель обязан обеспечить реализацию прав работников на свободный бесплатный доступ к своим персональным данным, в том числе прав на получение копий любой записи о персональных данных работников, за исключением случаев, предусмотренных федеральным законом. Так, например, работодатель обязан в соответствии со ст. 15 ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» «передавать бесплатно каждому застрахованному лицу, работающему у него по трудовому договору или заключившему договор гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством Российской Федерации начисляются страховые взносы, копию сведений, представленных в орган Пенсионного фонда РФ для индивидуального (персонифицированного) учета для включения их в индивидуальный лицевой счет данного застрахованного лица».
В случае необходимости работник имеет право на поручение защиты персональных данных своим представителям.
Работник вправе приглашать по своему выбору медицинского специалиста при осуществлении своего права на полный доступ к медицинским данным, относящимся к его персональным данным.
Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
КОММЕНТАРИЙ
1. Комментируемая статья является отсылочной, и указывает, что в случае привлечения лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности, следует руководствоваться соответствующими федеральными законами.
Также и в ст. 17 ФЗ «Об информации, информационных технологиях и о защите информации» установлено, что нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
Также и в ст. 24 ФЗ «О персональных данных» указано, что лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
2. Порядок привлечения к дисциплинарной ответственности, в том числе и за указанные виды нарушений определен нормами гл. 30 «Дисциплина труда» Трудового кодекса РФ. Согласно ст. 192 ТК РФ работодатель вправе применить к работнику за неисполнение или ненадлежащее исполнение им по его вине возложенных на него обязанностей по получению, обработке и защите персональных данных работников одно из дисциплинарных взысканий: замечание, выговор, увольнение, в том числе в соответствии с подп. «в» п. 6 ч. 1 ст. 81 ТК РФ (разглашение персональных данных другого работника).
3. Одним из оснований возложения на работника (в том числе должностное лицо) материальной ответственности в полном размере причиненного ущерба является разглашение сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами (п. 7 ч. 1 ст. 243 ТК РФ).
4. К гражданско-правовой ответственности могут быть привлечены лица, причинившие убытки в результате использования незаконных методов получения информации, составляющей служебную или коммерческую тайну. Такая же обязанность в соответствии с п. 2 ст. 139 ГК РФ возлагается на работников, разгласивших служебную или коммерческую тайны, если в трудовом договоре предусмотрена обязанность работника об их неразглашении.
5. Привлечение к административной ответственности применительно к комментируемой статье может быть осуществлено в соответствии со ст. 5.39, 13.11, 13.12 и 13.14 КоАП РФ.
Статья 5.39 КоАП РФ предусматривает административную ответственность за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации, что может повлечь наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей (в ред. от 22.06.2007 № 116-ФЗ).
Согласно ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от пятисот до одной тысячи рублей; на юридических лиц – от пяти тысяч до десяти тысяч рублей.
Статья 13.12 КоАП РФ предусматривает административную ответственность за нарушение правил лицензионной деятельности по защите информации, за исключением информации, составляющей государственную тайну.
В соответствии со ст. 13.14 КоАП РФ установлена административная ответственность за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.
Привлечение к уголовной ответственности возможно за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан (ст. 137 УК РФ). Указанные деяния наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
Если такие деяния совершены с использованием лицом своего служебного положения, то они наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.