Все о трудовом праве
Разделы:
Последние новости:

30.01.2024

Законопроект направлен на расширение перечня лиц, имеющих преимущественное право на оставление на работе при сокращении численности или штата работников, с целью недопущения увольнения работников предпенсионного возраста.

подробнее
26.01.2024

Законопроект направлен на защиту трудовых прав членов многодетных семей. Конкретизируются права таких работников на оформление ежегодного оплачиваемого отпуска по своему желанию в удобное для них время, а также гарантии, установленные ст. 259 ТК РФ. Помимо этого устанавливаются гарантии при сокращении штатов для матерей и отцов, воспитывающих без супруга (супруги) детей в возрасте до четырнадцати лет.

подробнее
24.01.2024

Законопроект направлен на предоставление права на досрочное назначение страховой пенсии по старости медицинским работникам, осуществлявшим лечебную и иную деятельность по охране здоровья населения в медицинских организациях других, помимо государственной и муниципальной системы здравоохранения организационно-правовых форм, при условии осуществления такими лицами медицинской помощи в рамках ОМС.

подробнее
Все статьи > Трудовой договор > Как хранить персональные данные? (Маслова А.)

Как хранить персональные данные? (Маслова А.)

Дата размещения статьи: 03.03.2017

Как хранить персональные данные? (Маслова А.)

Непросто... Ведь есть сотрудники бухгалтерии, операторы, секретари (и т.д.), кто может их скопировать. И ведь копируют, и передают третьим лицам. А там уж... идут суды. 

Вопрос сбора и использования персональных данных регулируется Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", который четко прописывает, что под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу. Например, к такого рода информации можно отнести имя, фамилию человека, дату и место его рождения, адрес, семейное, социальное и имущественное положение, образование, доходы и т.д. При этом работодатели обязаны уведомить контролирующий орган, которым является Роскомнадзор, о подобной деятельности и невыполнение данного требования влечет серьезные санкции.

Работодатель осуществляет сбор, хранение и обработку персональных данных в строгом соответствии с требованиями законодательства. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. В организации должен быть разработан и принят локальный нормативный акт, устанавливающий порядок обработки персональных данных работников. Согласно ст. 90 Трудового кодекса РФ лица, в нарушение положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. Организацией могут быть приняты такие документы, например, как положение о защите персональных данных работников (данный документ утверждается и вводится в действие приказом руководителя организации) и обязательство о неразглашении персональных данных работников (подписывается теми, кто имеет доступ к таким данным). В соответствии с ч. 8 ст. 86 Трудового кодекса РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Поскольку доступ к персональным данным может иметь не только руководитель организации, то ответственность за разглашение персональных данных предусмотрена и для работников организации. Так, согласно п. "в" ч. 6 ст. 81 Трудового кодекса РФ трудовой договор с работником может быть расторгнут по инициативе работодателя в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.

В ФЗ "О персональных данных" есть четкое определение, что государственный, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, называются оператором. В соответствии с требованиями ч. 4 ст. 25 ФЗ "О персональных данных" операторы, осуществляющие обработку персональных данных, но не зарегистрированные в Реестре ОПД (операторы персональных данных), обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление об обработке персональных данных. Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). При этом в ст. 22 ФЗ "О персональных данных" есть четкий перечень оснований, по которым оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных. К таким основаниями относятся, например:

- персональные данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

- персональные данные, включающие в себя только фамилии, имена и отчества субъектов;

- персональные данные, необходимые в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях.

То есть можно сделать вывод: если персональные данные работника используются только в пределах организации и не передаются третьим лицам, то уведомлять Роскомнадзор нет необходимости.

Однако, к примеру, при наличии в организации зарплатных карт работодателю необходимо обязательно регистрироваться и направлять в Роскомнадзор соответствующее уведомление об обработке персональных данных, поскольку в данном случае персональные данные сотрудников организации будут передаваться третьим лицам, а именно в банк. При этом от владельца персональных данных на обработку его персональных данных требуется получить письменное согласие, в котором субъект указывает письменно именно те данные, на обработку которых он дает свое согласие.

Если посмотреть судебную практику по вопросу исполнения законодательства о персональных данных, то можно отметить, что руководители организаций за неисполнение законодательства подвергаются административному наказанию в виде предупреждения или штрафа. Санкция ст. 13.11 Кодекса Российской Федерации об административных правонарушениях за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Так, например, прокуратурой Юкаменского района была проведена проверка исполнения законодательства о персональных данных в ООО "Луч", осуществляющем сельскохозяйственную деятельность и деятельность по переработке древесины на территории Юкаменского района Удмуртской Республики для личных нужд. Проведенной проверкой было установлено, что в ООО "Луч" Юкаменского района УР допускаются нарушения законодательства о персональных данных, а именно генеральным директором ООО "Луч" в нарушение вышеуказанного законодательства собираются, хранятся, используются и передаются персональные данные 3 работников в целях контроля за их трудовой деятельностью, поощрения за труд и отчисления социальных платежей без их письменных согласий с момента их принятия на работу. Своими действиями генеральный директор ООО "Луч" совершила административное правонарушение, предусмотренное ст. 13.11 КоАП РФ - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). В связи с этим и. о. мирового судьи судебного участка Юкаменского района Удмуртской Республики - мировой судья судебного участка Красногорского района Егоров С.Ю. вынес постановление, в котором признал генерального директора ООО "Луч" виновной в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и объявил предупреждение.

При вынесении постановления мировой судья ссылается на то, что согласно п. п. 2, 3 ст. 86 Трудового кодекса РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования: при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами; все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. В соответствии со ст. 88 ТК РФ при передаче персональных данных работника работодатель должен соблюдать следующие требования: не сообщать персональные данные работника третьей стороне без письменного согласия работника. Поскольку данные нормы закона работодателем соблюдены не были, при проведении проверки прокуратура выявила данные нарушения и возбудила дело об административном правонарушении, после чего передала материалы в суд для вынесения постановления.

Рассмотрим другой пример из судебной практики, в котором руководителем не разработан и не принят локальный нормативный акт, регламентирующий порядок хранения и использования персональных данных работников, не назначено лицо, ответственное за организацию обработки персональных данных, в связи с чем последний был привлечен к административной ответственности. Так, и. о. прокурора района имени Полины Осипенко Хабаровского края обратился в суд о привлечении к административной ответственности должностного лица - индивидуального предпринимателя Казакова В.А. (далее - ИП Казаков В.А.) за совершение административного правонарушения, предусмотренного ст. 13.11 Кодекса Российской Федерации об административных правонарушениях. В постановлении о возбуждении дела об административном правонарушении указано, что в ходе проведенной прокуратурой проверки соблюдения ИП Казаковым В.А. законодательства о защите прав и свобод человека и гражданина при обработке персональных данных выявлено, что Казаковым В.А. не разработан и не принят локальный нормативный акт, регламентирующий порядок хранения и использования персональных данных работников, не назначено лицо, ответственное за организацию обработки персональных данных. Суд, рассмотрев материалы дела, постановил признать индивидуального предпринимателя Казакова виновным в совершении административного правонарушения, предусмотренного ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)) и подвергнуть его административному наказанию в виде административного штрафа в размере 300 (трехсот) рублей.

При вынесении постановления суд ссылался на то, что в силу требований пунктов 1, 2 части 1 статьи 18.1, части 1 статьи 22.1 Федерального закона "О персональных данных" оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных данным Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, в т.ч. назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. В соответствии со ст. 86 Трудового кодекса Российской Федерации в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

- обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и движении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

- работники и их представители должны быть ознакомлены по списку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

- работодатели, работники и их представители должны вырабатывать меры защиты персональных данных работников.

При таких обстоятельствах суд счел вину должностного лица - ИП Казакова В.А. в совершении им административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, установленной и доказанной.

Также есть примеры того, как руководитель организации привлекается к ответственности за правонарушение в связи с тем, что не было получено согласие работника на обработку персональных данных.

Согласно постановлению прокурора Унинского района Кировской области 22.03.2016 при проведении проверки соблюдения трудового законодательства в деятельности МУП "Унинская МТС" выявлены нарушения действующего трудового законодательства, ущемляющие основные права и интересы работников в сфере защиты персональных данных. В нарушение требований ст. 3, ст. 6, п. 1 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" согласие работников МУП "Унинская МТС" на обработку их персональных данных со всех работников не получено. Так, один из работников, принятый на работу 25.01.2016, на момент проверки 22.03.2016 не ознакомлен с положением об организации работы с персональными данными под роспись.

Кроме того, перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ; перечень мест хранения; перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия; перечень лиц, ответственных за реализацию указанных мер, в соответствии с требованиями п. 6, 13, 15 Постановления Правительства РФ от 15.09.2008 N 687 не были установлены. Лица, осуществляющие в силу своей трудовой деятельности обработку персональных данных (работники службы кадров, бухгалтерии), не проинформированы об обработке ими персональных данных работников. Мировой судья судебного участка N 4 Унинского района Кировской области Осокин К.В., рассмотрев материалы дела, постановил признать директора МУП "Унинская МТС" виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначить административное наказание в виде предупреждения.

Так, согласно п. 1 ч. 1 ст. 6, ч. 1 ст. 9 ФЗ "О персональных данных" обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Пункт 6 Постановления Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" гласит, что лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

В соответствии с п. 13, 15 указанного Постановления обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Согласно всему вышеизложенному своими действиями директор МУП "Унинская МТС" нарушил нормы действующего законодательства, в связи с чем и был правомерно привлечен к административной ответственности.

Персональные данные Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.1997 N 188, отнесены к категории конфиденциальной информации, таким образом, лицо, получившее доступ к персональным данным, должно обеспечивать конфиденциальность таких данных, соблюдать требования о недопустимости их распространения без согласия субъекта персональных данных или иного законного основания.

В связи со всем вышеизложенным можно сделать вывод, что работодатель обязан:

- разрабатывать и принимать локальные нормативные акты, регламентирующие порядок хранения и использования персональных данных работников;

- назначать лицо, ответственное за организацию обработки персональных данных;

- устанавливать перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ; перечень мест хранения; перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия; перечень лиц, ответственных за реализацию указанных мер, в соответствии с требованиями п. 6, 13, 15 Постановления Правительства РФ от 15.09.2008 N 687;

- знакомить работника под роспись с положением об организации работы с персональными данными;

- брать письменное согласие с работника на обработку персональных данных, которое должно быть конкретным и информированным и содержать в себе конкретно те сведения, на которые работник дает согласие для обработки, а также согласие для передачи своих персональных данных третьим лицам с указанием этих лиц;

- направлять уведомление в Роскомнадзор об обработке персональных данных работников в случаях, предусмотренных законодательством РФ.

Выполняя все указанные выше требования законодательства, работодатель сможет избежать привлечения к административной ответственности, поскольку после рассмотрения указанных выше примеров из судебной практики за последний год можно сделать однозначный вывод, что руководителям организаций не стоит пренебрегать данным вопросом, так как тема персональных данных работников на данный момент является достаточно животрепещущей, и соответствующие органы, как мы можем видеть, следят за исполнением законодательства в полной мере.

 
Трудовой договор и трудовые отношения © 2015 - 2024. Все права защищены
↑