Мудрый Экономист

Обработка персональных данных работников

"Учреждения физической культуры и спорта: бухгалтерский учет и налогообложение", 2013, N 5

Работа с персональными данными работников начинается при их приеме на работу в кадровом отделе. Формируется база (личные дела) работников с их личными данными, сведениями об их родственниках и т.д. Затем этими данными пользуются специалисты бухгалтерских служб для учета труда и заработной платы, начисления страховых взносов и налогов, формирования и представления отчетности в различные уполномоченные органы, передачи такой информации через телекоммуникационные сети, размещения ее в Интернете на сайтах учреждений и т.д. Все эти операции прямо или косвенно связаны с персональными данными сотрудников. О том, что необходимо учитывать при их использовании, расскажем в статье.

Общие положения по использованию персональных данных работников

Основными нормативными актами, регламентирующими правила использования и защиты персональных данных работников, являются:

Согласно п. 1 ст. 3 Федерального закона N 152-ФЗ персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), то есть позволяющая его идентифицировать. Исходя из данного определения к субъектам персональных данных в полной мере можно отнести работников учреждения.

Работодатель, в свою очередь, выступает в роли оператора, то есть юридического лица, осуществляющего обработку персональных данных, а также определяющего цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними (п. 2 ст. 3 Федерального закона N 152-ФЗ).

Здесь же отметим, что согласно п. 3 ст. 3 Федерального закона N 152-ФЗ обработкой персональных данных признается любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без него, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии с Федеральным законом N 152-ФЗ можно выделить основные принципы и условия использования и обработки персональных данных:

В целях соблюдения и реализации перечисленных принципов и условий использования персональных данных оператор (работодатель) обязан (ст. 18.1 Федерального закона N 152-ФЗ):

а) назначить ответственного за организацию обработки персональных данных;

б) издать следующие локальные акты:

в) обеспечить принятие правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона N 152-ФЗ;

г) осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении их обработки, локальным актам оператора;

д) оценить вред, который может быть причинен работникам в случае нарушения Федерального закона N 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Законом;

е) ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к их защите, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучить указанных работников;

ж) ознакомить работников (их представителей) под расписку с документами, устанавливающими порядок обработки их персональных данных, а также с правами и обязанностями работников в этой области (п. 8 ст. 86 ТК РФ).

Что относится к персональным данным работника?

Итак, к персональным данным работника, в частности, можно отнести его:

Конкретного перечня персональных данных работника не утверждено, поэтому до сих пор возникают споры по признанию тех или иных сведений персональными данными работника. К примеру, в соответствии со ст. 152.1 ГК РФ использование изображения гражданина (например, его фотографии) допускается только с его согласия. На основании этой нормы фотографию работника также можно отнести к его персональным данным.

Или, например, электронный адрес работника. Относится ли он к его персональным данным? Федеральный закон N 152-ФЗ и Трудовой кодекс четкого ответа на данный вопрос не дают. Некоторые авторы утверждают, что электронный адрес может относиться к персональным данным работника, если с его помощью можно достоверно идентифицировать работника. В ином случае такие сведения персональными данными не являются.

Для того чтобы таких спорных вопросов не возникало, учреждение должно прописать в положении о персональных данных конкретный перечень данных, которые являются таковыми.

Согласие на обработку персональных данных работников

Как уже было сказано, обработка персональных данных осуществляется с согласия субъекта персональных данных, в нашем случае - с согласия работника (пп. 1 п. 1 ст. 6 Федерального закона N 152-ФЗ).

По Разъяснениям Роскомнадзора <1> "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" (далее - Разъяснения) работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися обычно приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ. Также в этих Разъяснениях приводятся иные наиболее распространенные случаи обработки персональных данных работника и указывается, в каких из них согласие работника на обработку его персональных данных обязательно, а в каких - нет. Приведем такие случаи в таблице.

<1> Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) выполняет функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (Постановление Правительства РФ от 16.03.2009 N 228).
  Ситуации, при
которых
осуществляется
обработка
персональных
данных
работника
     Согласие работника не требуется     
    Согласие
работника
обязательно
 Опубликование 
и размещение
персональных
данных
работника в
Интернете
Если опубликование и размещение          
персональных данных предусмотрены
законодательством РФ. Например, в
соответствии с Правилами N 343 <*>
образовательное учреждение должно
размещать на своем официальном сайте в
Интернете и обновлять в сроки,
установленные Законом РФ N 3266-1 <**>, в
том числе информацию, содержащую
следующие персональные данные: Ф.И.О.
руководителя образовательного учреждения,
его место нахождения, график работы,
адрес электронной почты, справочные
телефоны, Ф.И.О. и должности
руководителей структурных подразделений,
включая филиалы и представительства,
места их нахождения, графики работы,
адреса электронной почты, информацию о
персональном составе педагогических
(научно-педагогических) работников, их
Ф.И.О., занимаемые должности, их уровень
образования, квалификацию, наличие ученой
степени, ученого звания
В иных случаях
опубликования и
размещения
персональных
данных работника
в Интернете
 Обработка     
персональных
данных близких
родственников
работника
Если такие данные необходимы при         
заведении на работника личной карточки
(ф. Т-2) либо при оформлении алиментов,
допуска к государственной тайне,
социальных выплат
В иных случаях
получение
согласия близких
родственников
работника
обязательно
 Обработка     
сведений о
состоянии
здоровья
работника
Если такие сведения относятся к вопросу о
возможности выполнения работником
трудовой функции на основании положений
пп. 2.3 п. 2 ст. 10 Федерального закона
N 152-ФЗ в рамках трудового
законодательства
        -
 Передача      
персональных
данных
работника
внебюджетным
фондам,
налоговым
органам и иным
третьим лицам
Если такая передача предусмотрена ТК РФ  
или иными федеральными законами, в
частности передача данных работника:
- в ФСС, ПФР;
- в налоговые органы, военные
комиссариаты, профсоюзные органы.
Согласие работника не требуется при
передаче его персональных данных в
случаях, связанных с выполнением им
должностных обязанностей, в том числе при
его командировании
В иных случаях
передача данных
работника без
его согласия
третьим лицам
запрещается
 Передача      
данных
работника при
поступлении
запросов от
организаций
При получении в рамках установленных     
полномочий мотивированных запросов от
органов прокуратуры, правоохранительных
органов, органов безопасности, от
государственных инспекторов труда при
осуществлении ими государственного
надзора и контроля за соблюдением
трудового законодательства и иных
органов, уполномоченных запрашивать
информацию о работниках в соответствии с
компетенцией, предусмотренной
законодательством РФ
В случае
поступления
запросов из
организаций, не
обладающих
соответствующими
полномочиями
 Передача      
персональных
данных
работника
кредитным
организациям,
открывающим и
обслуживающим
платежные
карты для
начисления
заработной
платы
В случаях, когда:                        
- договор на выпуск банковской карты
заключался напрямую с работником и в его
тексте предусмотрены положения,
устанавливающие передачу работодателем
персональных данных работника;
- у работодателя есть доверенность на
представление интересов работника при
заключении договора с кредитной
организацией на выпуск банковской карты и
ее последующем обслуживании;
- соответствующая форма и система оплаты
труда прописаны в коллективном договоре
(ст. 41 ТК РФ)
В остальных
случаях
 Обработка     
персональных
данных
работника при
осуществлении
пропускного
режима на
территорию
служебных
зданий и
помещений
При условии что организация пропускного  
режима осуществляется работодателем
самостоятельно либо указанная обработка
соответствует порядку, предусмотренному
коллективным договором, локальными актами
работодателя, принятыми на основании
ст. 372 ТК РФ
В остальных
случаях
 Привлечение   
сторонних
организаций
для ведения
кадрового и
бухгалтерского
учета
                    -                    
Согласие
обязательно. Оно
может быть как
оформлено в виде
отдельного
документа, так и
закреплено в
трудовом
договоре
 Обработка     
персональных
данных
уволенных
работников
В случаях и в сроки, предусмотренные     
федеральным законодательством, например,
для ведения бухгалтерского и налогового
учета
В остальных
случаях
 Обработка     
персональных
данных
соискателей на
замещение
вакантных
должностей
В случаях, когда от имени соискателя     
действует кадровое агентство, с которым
данное лицо заключило соответствующий
договор, а также при самостоятельном
размещении соискателем своего резюме в
Интернете для доступа неограниченному
кругу лиц
В остальных
случаях при
приеме на
работу, в том
числе при
направлении
работодателем
запросов для
уточнения или
получения
дополнительной
информации о
соискателе
<*> Правила размещения в сети Интернет и обновления информации об образовательном учреждении, утвержденные Постановлением Правительства РФ от 18.04.2012 N 343.
<**> Закон РФ от 10.07.1992 N 3266-1 "Об образовании".

Ответственность, предусмотренная за нарушение требований законодательства о персональных данных

В соответствии с п. 1 ст. 24 Федерального закона N 152-ФЗ, ст. 90 ТК РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются:

  1. к дисциплинарной ответственности. В частности, с лицом, ответственным за обработку персональных данных, работодатель вправе расторгнуть трудовой договор на основании пп. "в" п. 6 ч. 1 ст. 81 ТК РФ. Кроме того, в отношении такого лица может быть применено такое дисциплинарное взыскание, как замечание, выговор или увольнение (ст. 192 ТК РФ);
  2. к материальной ответственности в порядке, установленном ст. ст. 232, 238 ТК РФ;
  3. к гражданско-правовой ответственности. Согласно п. 1 ст. 1064 ГК РФ вред, причиненный личности гражданина, подлежит возмещению в полном объеме лицом, причинившим вред;
  4. к административной ответственности, в частности, за:

а) нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа (ст. 13.11 КоАП РФ):

б) разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение на должностных лиц административного штрафа в размере от 4000 до 5000 руб. (ст. 13.14 КоАП РФ);

в) отсутствие в учреждении локального акта, устанавливающего порядок обработки персональных данных работников, квалифицируется как нарушение законодательства о труде и влечет на основании ст. 5.27 КоАП РФ наложение штрафа:

Напомним, что на наличие такого локального акта у работодателя указывают п. 8 ст. 86, ст. ст. 87, 88 ТК РФ;

  1. к уголовной ответственности, в частности, за:

а) незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия наказывается (ст. 137 УК РФ):

Этой же статьей предусмотрено ужесточение наказания, если указанные деяния совершены лицом с использованием своего служебного положения;

б) неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, наказывается (ст. 140 УК РФ):

Л.Ларцева

Эксперт журнала

"Учреждения физической культуры и спорта:

бухгалтерский учет и налогообложение"