Работа с персональными данными

Работа с персональными  данными регулируется целым рядом  норм, во главе которых стоит закон 152-ФЗ «О персональных данных». Параллельно  ему действует Трудовой кодекс, также  содержащий довольно много норм, регулирующих работу с персональными данными.  
 
Какие сведения относятся к персональным данным 
 
Пункт 1 ст. 3 Закона о персональных данных содержит довольно широкое определение, согласно которому персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его: 
- фамилия; 
- имя; 
- отчество; 
- год, месяц, дата и место рождения; 
- адрес; 
- семейное, социальное, имущественное положение; 
- образование; 
- профессия; 
- доходы; 
- другая информация. 
Как видно, данный перечень не является исчерпывающим, следовательно, и иная информация, характеризующая человека, может быть отнесена к его персональным данным. 
В соответствии со ст. 85 ТК РФ персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Четкого перечня персональных данных работника ТК РФ не содержит. Однако для трудовых отношений в общем перечне сведений, являющихся персональными данными, ТК РФ выделяет именно те, которые характеризуют человека в качестве работника. Как правило, эти данные необходимы для заключения трудового договора, заполнения личной карточки работника, формирования личного дела, предоставления работнику определенных льгот, выполнения работодателем иных функций, возложенных на него законодательством (уплата взносов на обязательное пенсионное страхование, налогов), и пр. 
Пример 1. Иванову М.Ю. при устройстве на работу к индивидуальному предпринимателю предложили заполнить анкету, в которой он должен был указать свое социальное положение, доход, жилищные условия. Однако указанные сведения не могут характеризовать его как работника, соответственно, в контексте трудового законодательства они не являются персональными данными работника. 
 
В соответствии со ст. 9 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" персональные данные представляют собой информацию ограниченного доступа. Кроме того, персональные данные указаны в Перечне сведений конфиденциального характера, утвержденном Указом Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера". Конфиденциальность персональных данных означает, что лицо, имеющее к ним доступ, не должно подвергать данные распространению без согласия субъекта персональных данных или иного законного основания. 
Следовательно, персональные данные требуют особого подхода, который выражается в установлении порядка работы с ними, режима охраны этих данных. Рассмотрим более подробно, какие именно требования предъявляет действующее законодательство к работодателям при осуществлении различных действий с персональными данными работников. 
 
Требования к обработке персональных данных работника 
 
Согласно ст. 85 ТК РФ обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. Закон о персональных данных более подробно перечисляет действия, представляющие собой обработку таких данных, в том числе: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (включая передачу), обезличивание, блокирование, уничтожение персональных данных. 
 
Таким образом, обработка персональных данных работника включает все этапы - от сбора до передачи третьим лицам. Требования к обработке персональных данных работника устанавливает ст. 86 ТК РФ. 
В п. 1 ст. 86 ТК РФ предусмотрены цели подобной обработки, а именно она может осуществляться исключительно в следующих целях: 
- обеспечения соблюдения законов и иных нормативных правовых актов; 
- содействия работникам в трудоустройстве, обучении и продвижении по службе; 
- обеспечения личной безопасности работников; 
- контроля количества и качества выполняемой работы; 
- обеспечения сохранности имущества. 
При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами (п. 2 ст. 86 ТК РФ). 
 
Как было отмечено, конкретного перечня сведений, относящихся к персональным данным работника, ТК РФ не устанавливает. Также отсутствует и список данных, которые работодатель должен собрать и обработать в отношении отдельно взятого работника. ТК РФ закрепляет лишь общие принципы. В частности, в силу требований трудового законодательства (ст. 65 ТК РФ) при приеме на работу работодатель получает персональные данные работника: 
- о трудовом стаже работника (содержится в трудовой книжке работника); 
- о регистрации в органах Пенсионного фонда РФ (подтверждается "пенсионным" свидетельством); 
- о состоянии работника на воинском учете - для военнообязанных и подлежащих воинскому учету (содержится в документах воинского учета); 
- об образовании, квалификации (подтверждаются соответствующими документами); 
- о возрасте, месте жительства, семейных обязанностях (содержатся в паспорте, документе, удостоверяющем личность). 
 
Помимо этого, работодатель получает и иные сведения, подлежащие занесению в личную карточку работника (форма личной карточки утверждена Постановлением Госкомстата России от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты"). 
 
Сбор сведений о родственниках работника не будет соответствовать указанным выше целям и принципам. Исключение составляет информация о детях и близких родственниках, за которыми работник осуществляет уход. Это необходимо для выполнения требований трудового законодательства и соблюдения прав работника в части установления ему особых условий труда. 
Пример 2. В анкету для заполнения соискателями, устраивающимися на работу в охранное агентство, принадлежащее индивидуальному предпринимателю, были включены графы, предусматривающие представление информации о родственниках, осужденных к лишению свободы. Указанные сведения не относятся к персональным данным работника и противоречат общим целям обработки персональных данных. 
 
Помимо перечисленных персональных данных, работодатель получает информацию, необходимую для уплаты налогов (ст. 24 Налогового кодекса РФ), а также для осуществления обязательного пенсионного страхования работника (ст. 6 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования"). 
Работодатели нередко пренебрегают важным требованием к обработке персональных данных, в соответствии с которым они должны быть получены у самого работника (п. 3 ст. 86 ТК РФ). 
Пример 3. В туристическом агентстве индивидуального предпринимателя И. практиковался сбор информации самого различного характера и формирование досье на работников без уведомления самих работников. В данном случае имеет место прямое нарушение положений ТК РФ - отсутствует согласие субъекта персональных данных на получение о нем данных. Кроме того, указанные сведения не относятся в соответствии с трудовым законодательством к персональным данным работников. 
 
Однако приведенное выше правило не означает, что письменное согласие работника требуется каждый раз. Ведь, например, фамилия и имя сотрудника используются довольно часто. В данном случае следует иметь в виду, что согласно пп. 2 п. 2 ст. 6 Закона о персональных данных согласие от сотрудника не требуется, если сбор или изменение сведений проводят для исполнения договора, одной из сторон которого является сам работник. Так, передать сведения в охрану для оформления пропуска можно, не спрашивая письменного согласия работника, поскольку пропуск нужен для исполнения работником своих обязанностей по трудовому договору. Аналогичным образом обстоит дело с указанием данных сотрудника в различных рабочих документах (доверенностях, приказах, расчетно-платежных ведомостях). 
 
Не всегда сведения, интересующие работодателя, работник может представить лично. Допустим, часть сведений работодатель может получить исключительно у третьего лица (например, предыдущего работодателя). Какова процедура их получения? Прежде всего необходимо согласие работника в письменном виде. Кроме того, в документе, где выражено согласие работника, следует указать цели, источники и способы получения персональных данных, перечень запрашиваемых сведений, лиц, у которых они будут запрашиваться, а также последствия отказа работника дать письменное согласие на их получение (в случае подобного отказа составляется акт). 
 
Следует иметь в виду, что указанный порядок должен работать и в случаях, когда те или иные сведения, представленные работником, вызывают у работодателя сомнение. То есть не допускается тайком, за спиной работника, проверка информации, относящейся к его персональным данным. 
 
В соответствии с п. 4 ст. 86 ТК РФ работодатель не имеет права получать и обрабатывать персональные данные работника о его религиозных и иных убеждениях и частной жизни. Однако, если для осуществления трудовых отношений необходимы такие данные, они собираются с письменного согласия работника. Примером информации о частной жизни являются сведения о наличии детей. 
 
Работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или о его профсоюзной деятельности (п. 5 ст. 86 ТК РФ). 
 
При принятии решений, затрагивающих интересы работника, работодатель не вправе основывать свое решение на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения (п. 6 ст. 86 ТК РФ). То есть данные, полученные в электронном виде и не подтвержденные иными материальными носителями, не могут лежать в основе решения работодателя, затрагивающего интересы работника. Это связано с тем, что персональные данные в электронном виде могут быть подвергнуты неправомерной корректировке в результате чьих-то случайных или неправомерных действий либо в результате сбоя программы. В данном случае следует сверить информацию с данными, содержащимися на бумаге, или получить подтверждение от самого работника. 
 
Пример 4. При приеме на работу нового продавца в магазин автозапчастей, принадлежащий индивидуальному предпринимателю П., сотрудник, ведущий кадровую работу, по электронной почте обратился к предыдущему работодателю соискателя с просьбой направить краткую характеристику на него. В ответ он получил электронное сообщение с запрашиваемой характеристикой, однако с неточной информацией. Как выяснилось при проверке информации, предыдущий работодатель умышленно исказил факты для того, чтобы помешать трудоустройству квалифицированного специалиста к конкуренту. 
 
ТК РФ возлагает на работодателя обязанность по защите персональных данных работников от неправомерного их использования или утраты. Защита должна осуществляться за счет средств работодателя (п. 7 ст. 86 ТК РФ). В данном случае имеются в виду мероприятия, направленные на защиту информации ограниченного доступа. К примеру, строгая регламентация порядка обращения с подобной информацией, установление круга лиц, имеющих к ней доступ. 
Обязанностью работодателя также является разработка документов, устанавливающих порядок обработки персональных данных. Что касается работников, они должны быть ознакомлены под роспись с указанными документами, а также с их правами и обязанностями в данной области (п. 8 ст. 86 ТК РФ). Примерами подобных документов могут быть положение, инструкция. Отказ работников от своих прав на защиту и сохранение тайны не допускается (п. 9 ст. 86 ТК РФ). 
Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников (п. 10 ст. 86 ТК РФ). К примеру, разрабатывать локальные нормативные акты, устанавливающие порядок доступа и работы с персональными данными работников, режим их защиты. 
 
Хранение и использование персональных данных работников 
 
Статья 87 ТК РФ устанавливает, что порядок хранения и использования персональных данных определяется работодателем самостоятельно. Хранение персональных данных осуществляется в документированном виде. Персональные данные работника содержатся в следующих документах: 
- в документе, удостоверяющем личность работника; 
- в трудовой книжке; 
- в страховом свидетельстве обязательного пенсионного страхования; 
- в документах воинского учета; 
- в документах об образовании, квалификации или специальной подготовке; 
- в иных документах, представляемых работником (резюме, справки, характеристики, грамоты и пр.); 
- в докладных, служебных записках; 
- в материалах служебных проверок и расследований. 
Основные документы, в которых содержатся персональные данные, объединяются в личное дело, порядок ведения и хранения которого устанавливается работодателем. Отметим также иные документы, регламентирующие сроки хранения носителей, содержащих персональные данные работников. 
Так, персональные данные о трудовой деятельности и трудовом стаже содержатся в трудовой книжке. Порядок хранения трудовых книжек установлен Правилами ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16.04.2003 N 225). 
 
Формы первичной учетной документации по учету труда и его оплаты утверждены Постановлением Госкомстата России от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты". В соответствии с данным Постановлением работодатель осуществляет хранение этих документов, содержащих в том числе и персональные данные работников. 
 
Поскольку персональные данные относятся к закрытой информации, работодатель должен создать технические условия, направленные на охрану персональных данных работников (особый режим доступа, защита персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения). 
Обратите внимание на то, что обязанность защиты персональных данных снимается с работодателя в отношении обезличенных и общеизвестных персональных данных. Так, обезличенными являются персональные данные, которые невозможно отнести к тому или иному лицу. Говоря другими словами, неизвестно, кому именно они принадлежат. К общедоступным персональным данным относятся данные, доступ к которым с согласия гражданина может быть предоставлен широкому кругу лиц (например, информация, находящаяся в справочнике, адресной книге). 
 
Передача персональных данных работников 
 
Нередко перед работодателем встает вопрос о передаче персональных данных того или иного работника. Статья 88 ТК РФ устанавливает ряд правил, которыми необходимо руководствоваться при передаче персональных данных. 
 
Прежде всего передача персональных данных третьей стороне возможна лишь с письменного согласия работника. Исключение составляют случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (а также в иных случаях, предусмотренных ТК РФ и иными федеральными законами). 
 
Примерами указанных исключений является информирование ряда госорганов о несчастном случае на производстве (ст. 228 ТК РФ), передача персональных данных в соответствии с действующим законодательством в: 
- Пенсионный фонд РФ; 
- Федеральную инспекцию труда; 
- налоговые органы; 
- Фонд социального страхования РФ; 
- органы государственного контроля и надзора за соблюдением законов о труде. 
Персональные данные - информация не для свободного доступа. В связи с этим лица, которым переданы персональные данные, должны использовать полученную информацию исключительно в целях, для которых она была сообщена, и соблюдать режим секретности (конфиденциальности) информации. 
 
Передача персональных данных в рамках одного работодателя должна происходить в соответствии с локальным нормативным актом, с которым работник подлежит ознакомлению под роспись. 
 
При передаче персональных данных доступ к ним должен разрешаться исключительно уполномоченным лицам. В данном случае в локальном нормативном акте о персональных данных, который обязан разработать каждый работодатель, можно предусмотреть, кто именно из специалистов, в каком объеме и к какой информации имеет доступ. 
 
Работодателю при передаче персональных данных работника запрещается запрашивать информацию о состоянии здоровья работника. Исключение составляют те сведения, которыми работодателю необходимо располагать при решении вопроса о возможности или невозможности выполнения работником трудовой функции. Кроме того, в ряде случаев необходимость получения информации о здоровье работника вызвана спецификой работы (в отношении работников, занятых в организациях общественного питания, детских учреждениях и т.п.). 

 
Ответственность за нарушение правил работы с персональными  данными 
 
Статья 90 ТК РФ предусматривает, что лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работников, могут быть привлечены к следующим видам ответственности: 
- дисциплинарной; 
- материальной; 
- гражданско-правовой; 
- административной; 
- уголовной. 
 
Дисциплинарная ответственность 
 
Сотрудник, на которого возложена ответственность за сохранность персональных данных, при нарушении правил работы с ними может быть подвергнут дисциплинарному взысканию (замечание, выговор, увольнение). Однако разглашение персональных данных может повлечь более серьезное наказание. Так, согласно пп. "в" п. 6 ст. 81 ТК РФ по инициативе работодателя может быть расторгнут трудовой договор с сотрудниками, разгласившими охраняемую законом тайну (к которой в том числе относятся персональные данные). Уволить по данному основанию можно именно за разглашение данных, за нарушение иных правил работы с персональными данными работодатель вправе наложить иное дисциплинарное взыскание. 
 
Пример 5. Работник магазина Иванова М.А. по неосторожности повредила несколько трудовых книжек работников. Поскольку в данном случае не произошло разглашения персональных данных, Ивановой М.А. было сделано замечание. 
 
Материальная ответственность 
 
К материальной ответственности могут быть привлечены сотрудники, нарушившие правила работы с персональными данными и причинившие ущерб субъекту персональных данных (работнику), в результате чего работодатель был обязан произвести работнику выплаты в возмещение морального вреда. 
 
Гражданско-правовая ответственность 
 
Привлечение к указанному виду ответственности возможно в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина (ст. ст. 150, 151, 152 ГК РФ). 
 
Административная ответственность 
 
В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 3 до 5 МРОТ, на должностных лиц - от 5 до 10 МРОТ, на юридических лиц - от 40 до 50 МРОТ. За нарушение правил защиты информации административная ответственность предусмотрена ст. 13.12 КоАП РФ. 
Помимо этого, ст. 13.14 КоАП РФ предусматривает, что разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 5 до 10 МРОТ, на должностных лиц - от 40 до 50 МРОТ. 
 
Уголовная ответственность 
 
Привлечение к уголовной ответственности возможно на основании ст. 137 УК РФ - за злоупотребления и незаконные действия с информационными данными о частной жизни.