Общие правила обращения с персональными данными установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), а непосредственно в трудовых отношениях – дополнительно главой 14 Трудового кодекса РФ (далее – ТК РФ).
Персональные данные – это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу – субъекту персональных данных1. Таким образом, это могут быть любые сведения, идентифицирующие человека, в том числе: ФИО, дата рождения, место жительства, семейное положение, сведения об образовании и профессиональной деятельности, финансовое положение, факты биографии, деловые и личные качества человека и пр.
Под обработкой персональных данных понимается любое действие (операция) или их совокупность, которые совершаются с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Работодатель вправе обрабатывать только те персональные данные, которые ему необходимы в целях обеспечения соблюдения законодательства, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества2.
Персональные данные могут содержаться, к примеру, в анкете или автобиографии; в документе, удостоверяющем личность гражданина; в личной карточке № Т-2; в трудовой книжке; в свидетельствах о заключении брака, рождении ребёнка; в документах воинского учёта; в документах об образовании; в справках о доходах с предыдущего места работы; в документах обязательного пенсионного страхования; в трудовом договоре и в других документах.
Особенности получения персональных данных
Все персональные данные следует получать у самого работника и только с его согласия, если иное не установлено законом3. Если их можно получить только от третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие4. При этом ему нужно сообщить:
- о целях получения персональных данных;
- о способах их получения;
- о характере подлежащих получению персональных данных;
- о последствиях отказа дать письменное согласие на их получение.
Работодатель не вправе получать и обрабатывать:
- персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности5;
- специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, установленных законом6.
Порядок получения согласия на обработку персональных данных регламентирован в ст. 9 Закона № 152-ФЗ.
Согласно разъяснениям Роскомнадзора7 согласие на получение персональных данных требуется и от соискателей, в том числе:
- от претендента на замещение вакантной должности на период принятия работодателем решения о приёме либо отказе в приёме на работу8: при поступлении резюме по каналам электронной почты, факсимильной связи; при сборе персональных данных посредством типовой формы анкеты соискателя, утверждённой работодателем. Если же от имени соискателя действует кадровое агентство, с которым у него заключён договор, или если соискатель самостоятельно разместил своё резюме в сети Интернет, предоставив доступ к нему неограниченному кругу лиц, получать согласие не требуется9;
- для включения соискателя в кадровый резерв работодателя10.
Согласия на обработку персональных данных не требуется, если обработка необходима для исполнения договора, стороной которого является субъект персональных данных11. По мнению ФНП России, это правило распространяется и на стороны трудового договора12.
Не требуется согласия на обработку персональных данных работника (соискателя), получаемых, в частности13:
- из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК РФ;
- по результатам обязательного предварительного медицинского осмотра о состоянии здоровья14;
- в объёме, предусмотренном унифицированной формой № Т-215, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, социальных выплат)16;
В случаях, предусмотренных федеральным законодательством, не требуется получать согласие на обработку персональных данных уволенного работника. Например, в случае если обработка персональных данных осуществляется в рамках бухгалтерского и налогового учёта17.
Передача персональных данных работников третьим лицам
Работодатель не может сообщать третьей стороне персональные данные работника без его письменного согласия. Например, если от сторонней организации поступил запрос о предоставлении письменной характеристики в отношении вашего сотрудника. Без письменного согласия сообщить третьим лицам персональные данные можно только в случае, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами18. Например, когда необходимо представить сведения в ПФР РФ, ФСС РФ или по запросу правоохранительных органов, а также органов безопасности, государственных инспекторов труда при осуществлении ими государственного контроля и надзора за соблюдением трудового законодательства по их мотивированным запросам19. Мотивированный запрос должен содержать:
- указание цели запроса;
- ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос;
- перечень запрашиваемой информации20.
По этой же самой причине направление персональных данных работников в орган ЦЗН при проведении процедуры сокращения численности или штата не будет противоречить действующему законодательству о защите персональных данных. Ведь это обязанность работодателя21.
А вот если запрос поступил из организации, не обладающей соответствующими полномочиями, согласие получить нужно.
Например, в случае если организация планирует провести аудит бухгалтерской (финансовой) отчётности, в том числе в целях подтверждения правильности расчётов по заработной плате с работниками22. Проводится ли аудит в обязательном или добровольном порядке, правового значения не имеет. Кроме того, работодатель обязан предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено23.
Права работников на защиту своих персональных данных
Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя, базируются на главном принципе свободы доступа работника к своим персональным данным24, в том числе на праве получения копии любой записи, содержащей такие данные.
Это право корреспондируется с обязанностью работодателя на основании письменного заявления работника не позднее 3 рабочих дней выдать ему безвозмездно надлежащим образом заверенные копии документов, связанных с работой (приказ о приёме на работу, приказ об увольнении, выписку из трудовой книжки, справку о заработной плату и т. п.)25. На дистанционных работников это положение тоже распространяется, но с учётом особенностей, установленных гл. 49.1 ТК РФ26.
Работники также имеют право:
на полную информацию о своих персональных данных и их обработке27;- на доступ к медицинской документации, отражающей состояние его здоровья, с помощью медицинского специалиста по его выбору28;
- обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите их персональных данных29 . Защищать свои персональные данные они могут самостоятельно либо через представителя30. Таким представителем может выступать профсоюз либо иное лицо (как физическое, так и юридическое).
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. Если работодатель отказывается выполнять это требование, работник может заявить ему о своём несогласии в письменной форме с соответствующим обоснованием. Если речь идёт о персональных данных оценочного характера, работник вправе дополнить их заявлением, выражающим его собственную точку зрения31.
Обязанности работодателя по защите персональных данных
Защиту персональных данных работника от неправомерного их использования или утраты работодатель обеспечивает за счёт своих средств32. Работодателю необходимо:
- установить порядок хранения и использования персональных данных работников в локальном нормативном акте – Положении о персональных данных. Здесь должен быть закреплен, в частности, перечень персональных данных, обрабатываемых в организации, порядок доступа работника к своим персональным данным и вопросы защиты последних от неправомерного использования или утраты. Работников организации нужно ознакомить с этим документом, а также с их правами и обязанностями в этой области33. Его отсутствие может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства34;
- назначить ответственное за организацию обработки персональных данных лицо35;
- установить конкретный перечень работников, которые имеют доступ к персональным данным других работников (например, руководитель, бухгалтер, кадровик)36. А с такими работниками работодателю необходимо оформить письменное обязательство о неразглашении конфиденциальных сведений;
- вести журналы учёта персональных данных, в которых будет чётко отражено, кто, когда имел доступ, к каким персональным данным, каких работников и с какой целью;
- при использовании электронных систем хранения и обработки персональных данных обеспечить их защиту в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных37;
- по требованию работника работодатель обязан известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные этого работника, обо всех произведённых в них исключениях, исправлениях или дополнениях38.
2. П. 1 ч. 1 ст. 86 ТК РФ.
3. Ст. 6 Закона № 152-ФЗ.
4. П. 3 ст. 86 ТК РФ.
5. П. 5 ч. 1 ст. 86 ТК РФ.
6. П. 4 ч. 1 ст. 86 ТК РФ, п. 1 ст. 10 Закона № 152-ФЗ.
7. <Разъяснения> Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (текст опубликован на сайте http://www.rsoc.ru по состоянию на 24.12.2012 г.)
8. Абз. 11, 12 - 17 п. 5 разъяснений Роскомнадзора.
9. П. 10 ч. 1 ст. 6 Закона № 152-ФЗ, абз. 12 п. 5 разъяснений Роскомнадзора.
10. Абз. 22 - 25 п. 5 разъяснений Роскомнадзора.
11. П.5 ч.1 ст.6 Закона № 152-ФЗ.
12. Письмо ФНП от 23.12.2011 № 2515/07-17.
13. П. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона № 152-ФЗ, абз. 1 разъяснений Роскомнадзора.
14. Ст. 69 ТК РФ, п. 3 разъяснений Роскомнадзора.
15. Утв. Постановлением Госкомстата России от 05.01.2004 № 1.
16. П. 2 разъяснений Роскомнадзора.
17. Пп. 5 п. 3 ст. 24 НК РФ, ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте», п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, абз. 6-9 п. 5 разъяснений Роскомнадзора.
18. Ст. 88 ТК РФ.
19. Ст. 22 ТК РФ, абз. 3 п. 4, абз. 7 п. 4 разъяснений Роскомнадзора.
20. Абз. 8 п. 4 разъяснений Роскомнадзора.
21. П. 2 ст. 25 Закона РФ от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации».
22. Ст. 88 ТК РФ и ч. 1 ст. 9 Закона № 152-ФЗ.
23. Абз. 8 п. 4 разъяснений Роскомнадзора.
24. Ст. 89 ТК РФ, ст. 14 Закона № 152-ФЗ.
25. Ст. 62 ТК РФ.
26. Ч. 3 ст. 312.1 ТК РФ.
27. Ч. 1 ст. 89 ТК РФ.
28. П. 4 ч. 1 ст. 89 ТК РФ.
29. Ч. ч. 6,7 ст. 89 ТК РФ.
30. П. 3 ч. 1 ст. 89 ТК РФ.
31. П. 5 ч. 1 ст. 89 ТК РФ.
32. П. 7 ст. 86 ТК РФ.
33. Ч. 3 ст. 68, п. 8 ч. 1 ст. 86, ст. 87 ТК РФ.
34. Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 по делу № А40-20745/06-148-194.
35. Пп. 1 п. 1 ст. 18.1 Закона № 152-ФЗ.
36. П. 7 ст. 86, ст. 88 ТК РФ; ст. 7 Закона № 152-ФЗ.
37. Утв. Постановлением Правительства РФ от 01.11.2012 № 1119, пп. 2 п. 3 ст.19 Закона № 152-ФЗ.
38. Ст. 89 ТК РФ.
39. Федеральный закон от 21.07.2014 № 242-ФЗ.
40. Ст. ст. 5.39, 13.11, 13.14 КоАП РФ.
41. Ст. ст. 137, 140, 272 УК РФ, ст. 90 ТК РФ.