Обработка персональных данных работников
"Учреждения физической культуры и спорта: бухгалтерский учет и налогообложение", 2013, N 5
Работа с персональными данными работников начинается при их приеме на работу в кадровом отделе. Формируется база (личные дела) работников с их личными данными, сведениями об их родственниках и т.д. Затем этими данными пользуются специалисты бухгалтерских служб для учета труда и заработной платы, начисления страховых взносов и налогов, формирования и представления отчетности в различные уполномоченные органы, передачи такой информации через телекоммуникационные сети, размещения ее в Интернете на сайтах учреждений и т.д. Все эти операции прямо или косвенно связаны с персональными данными сотрудников. О том, что необходимо учитывать при их использовании, расскажем в статье.
Общие положения по использованию персональных данных работников
Основными нормативными актами, регламентирующими правила использования и защиты персональных данных работников, являются:
- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
- Трудовой кодекс (гл. 14 "Защита персональных данных работника").
Согласно п. 1 ст. 3 Федерального закона N 152-ФЗ персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), то есть позволяющая его идентифицировать. Исходя из данного определения к субъектам персональных данных в полной мере можно отнести работников учреждения.
Работодатель, в свою очередь, выступает в роли оператора, то есть юридического лица, осуществляющего обработку персональных данных, а также определяющего цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними (п. 2 ст. 3 Федерального закона N 152-ФЗ).
Здесь же отметим, что согласно п. 3 ст. 3 Федерального закона N 152-ФЗ обработкой персональных данных признается любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без него, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии с Федеральным законом N 152-ФЗ можно выделить основные принципы и условия использования и обработки персональных данных:
- обработка персональных данных должна осуществляться с согласия субъекта персональных данных;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям их обработки;
- персональные данные не должны раскрываться операторами (иными лицами, получившими доступ к таким данным) третьим лицам и не могут быть распространены без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
- обрабатываемые персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели их обработки;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено федеральным законом.
В целях соблюдения и реализации перечисленных принципов и условий использования персональных данных оператор (работодатель) обязан (ст. 18.1 Федерального закона N 152-ФЗ):
а) назначить ответственного за организацию обработки персональных данных;
б) издать следующие локальные акты:
- общий документ, определяющий политику оператора в отношении обработки персональных данных. Как правило, таким документом является положение о персональных данных;
- локальный акт или несколько актов, которые могут включать в себя описание всех процессов обработки персональных данных, в том числе перечень лиц, имеющих доступ к персональным данным, порядок обеспечения доступа и работы с персональными данными, процесс их уничтожения. Указанные акты также должны содержать конкретное описание правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;
- локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области использования персональных данных, устранение последствий таких нарушений;
в) обеспечить принятие правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона N 152-ФЗ;
г) осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении их обработки, локальным актам оператора;
д) оценить вред, который может быть причинен работникам в случае нарушения Федерального закона N 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Законом;
е) ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к их защите, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучить указанных работников;
ж) ознакомить работников (их представителей) под расписку с документами, устанавливающими порядок обработки их персональных данных, а также с правами и обязанностями работников в этой области (п. 8 ст. 86 ТК РФ).
Что относится к персональным данным работника?
Итак, к персональным данным работника, в частности, можно отнести его:
- фамилию, имя, отчество (Ф.И.О.);
- пол, дату рождения;
- национальность, гражданство;
- образование, квалификацию, профессиональную подготовку и сведения о повышении квалификации;
- наличие почетных званий, степеней;
- место жительства;
- номер телефона;
- семейное положение, наличие детей, родственные связи;
- факты биографии (места предыдущих работ, судимость, службу в армии, работу на выборных должностях, на государственной службе и др.);
- навыки, привычки, деловые и иные личные качества;
- прочую информацию о нем, которая поможет идентифицировать данного работника.
Конкретного перечня персональных данных работника не утверждено, поэтому до сих пор возникают споры по признанию тех или иных сведений персональными данными работника. К примеру, в соответствии со ст. 152.1 ГК РФ использование изображения гражданина (например, его фотографии) допускается только с его согласия. На основании этой нормы фотографию работника также можно отнести к его персональным данным.
Или, например, электронный адрес работника. Относится ли он к его персональным данным? Федеральный закон N 152-ФЗ и Трудовой кодекс четкого ответа на данный вопрос не дают. Некоторые авторы утверждают, что электронный адрес может относиться к персональным данным работника, если с его помощью можно достоверно идентифицировать работника. В ином случае такие сведения персональными данными не являются.
Для того чтобы таких спорных вопросов не возникало, учреждение должно прописать в положении о персональных данных конкретный перечень данных, которые являются таковыми.
Согласие на обработку персональных данных работников
Как уже было сказано, обработка персональных данных осуществляется с согласия субъекта персональных данных, в нашем случае - с согласия работника (пп. 1 п. 1 ст. 6 Федерального закона N 152-ФЗ).
По Разъяснениям Роскомнадзора <1> "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" (далее - Разъяснения) работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися обычно приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ. Также в этих Разъяснениях приводятся иные наиболее распространенные случаи обработки персональных данных работника и указывается, в каких из них согласие работника на обработку его персональных данных обязательно, а в каких - нет. Приведем такие случаи в таблице.
<1> Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) выполняет функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (Постановление Правительства РФ от 16.03.2009 N 228).Ситуации, при | Согласие работника не требуется | Согласие | ||||
Опубликование | Если опубликование и размещение | В иных случаях | ||||
Обработка | Если такие данные необходимы при | В иных случаях | ||||
Обработка | Если такие сведения относятся к вопросу о | - | ||||
Передача | Если такая передача предусмотрена ТК РФ | В иных случаях | ||||
Передача | При получении в рамках установленных | В случае | ||||
Передача | В случаях, когда: | В остальных | ||||
Обработка | При условии что организация пропускного | В остальных | ||||
Привлечение | - | Согласие | ||||
Обработка | В случаях и в сроки, предусмотренные | В остальных | ||||
Обработка | В случаях, когда от имени соискателя | В остальных | ||||
<**> Закон РФ от 10.07.1992 N 3266-1 "Об образовании".
Ответственность, предусмотренная за нарушение требований законодательства о персональных данных
В соответствии с п. 1 ст. 24 Федерального закона N 152-ФЗ, ст. 90 ТК РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются:
- к дисциплинарной ответственности. В частности, с лицом, ответственным за обработку персональных данных, работодатель вправе расторгнуть трудовой договор на основании пп. "в" п. 6 ч. 1 ст. 81 ТК РФ. Кроме того, в отношении такого лица может быть применено такое дисциплинарное взыскание, как замечание, выговор или увольнение (ст. 192 ТК РФ);
- к материальной ответственности в порядке, установленном ст. ст. 232, 238 ТК РФ;
- к гражданско-правовой ответственности. Согласно п. 1 ст. 1064 ГК РФ вред, причиненный личности гражданина, подлежит возмещению в полном объеме лицом, причинившим вред;
- к административной ответственности, в частности, за:
а) нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа (ст. 13.11 КоАП РФ):
- на должностных лиц - в размере от 500 до 1000 руб.;
- на юридические лица - от 5000 до 10 000 руб.;
б) разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение на должностных лиц административного штрафа в размере от 4000 до 5000 руб. (ст. 13.14 КоАП РФ);
в) отсутствие в учреждении локального акта, устанавливающего порядок обработки персональных данных работников, квалифицируется как нарушение законодательства о труде и влечет на основании ст. 5.27 КоАП РФ наложение штрафа:
- на должностных лиц - в размере от 1000 до 5000 руб.;
- на юридические лица - от 30 000 до 50 000 руб. или административное приостановление деятельности на срок до 90 суток.
Напомним, что на наличие такого локального акта у работодателя указывают п. 8 ст. 86, ст. ст. 87, 88 ТК РФ;
- к уголовной ответственности, в частности, за:
а) незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия наказывается (ст. 137 УК РФ):
- штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;
- обязательными работами на срок до 360 часов;
- исправительными работами на срок до одного года;
- принудительными работами на срок до двух лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до трех лет или без такового;
- арестом на срок до четырех месяцев;
- лишением свободы на срок до двух лет с лишением права занимать определенные должности или вести определенную деятельность на срок до трех лет.
Этой же статьей предусмотрено ужесточение наказания, если указанные деяния совершены лицом с использованием своего служебного положения;
б) неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, наказывается (ст. 140 УК РФ):
- штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;
- лишением права занимать определенные должности или осуществлять определенную деятельность на срок от двух до пяти лет.
Л.Ларцева
Эксперт журнала
"Учреждения физической культуры и спорта:
бухгалтерский учет и налогообложение"