Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Об этом говорит п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»1. К персональным данным относится любая персонифицированная информация о человеке – Ф.И.О., его возраст, гражданство, семейное положение, фотография, место работы и должность (профессия) и т.д. Поскольку работодатель напрямую работает с данной информацией (собирает ее, хранит, передает третьим лицам), то он обязан соблюдать требования законодательства о персональных данных. Особый интерес в этой связи представляют ситуации, когда работник отказывается дать письменное согласие на обработку своих персданных либо отзывает его. Разберем их, ориентируясь на разъяснения Роскомнадзора и судебную практику. А начнем с того, что напомним общие правила работы с персональными данными сотрудников.
|
В ст. 86 ТК РФ установлены обязательные для работодателя (и его представителей) требования при обработке персональных данных работников:
1) действовать исключительно в целях:
2) получать персональные данные работника у него самого. Если они могут быть получены только у третьей стороны, то нужно уведомить об этом работника и получить от него письменное согласие. В этом случае работодателю следует сообщить сотруднику:
3) обеспечить защиту персональных данных от неправомерного использования или утраты за счет собственных средств;
4) знакомить работников под подпись с локальными нормативными актами (ЛНА), устанавливающими порядок обработки персональных данных;
5) не запрещать работникам отказываться от своих прав на сохранение и защиту тайны и др.
По общему правилу работник должен дать согласие на обработку его персональных данных (свободно, своей волей и в своем интересе), а само согласие должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 Закона № 152‑ФЗ). Другими словами, заставить работника дать согласие нельзя, причем в случае возникновения спора доказать, что работник дал согласие на обработку его персональных данных, должен именно работодатель (ч. 3 ст. 9 Закона № 152‑ФЗ).
А еще работник может отозвать свое согласие на обработку персданных в любое время. Продолжить обработку без него работодатель сможет при наличии определенных оснований, указанных в Законе № 152‑ФЗ (ч. 2 ст. 9 Закона № 152‑ФЗ). Забегая вперед, скажем, что один из таких случаев – для заключения и/или исполнения договора с участием субъекта персональных данных (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ). Поскольку обработку персональных данных работодатель выполняет для реализации возложенных на него как сторону трудового договора функций, полномочий и обязанностей, то наличие согласия работника на их обработку не обязательно. Судебная практика также исходит из того, что не требуется согласия на обработку персональных данных работника, если она осуществляется в рамках трудовых правоотношений и в целях исполнения трудового договора (см., например, апелляционное определение Оренбургского областного суда от 21.06.2017 по делу № 33-4566/2017).
Работодатель не может привлечь к дисциплинарной ответственности работника, который отказался подписывать согласие. Также отсутствуют основания для увольнения работника, который не дает согласия на обработку персональных данных. А отказ гражданина от подписания соглашения (представления согласия) об обработке персональных данных на этапе трудоустройства не является основанием к отказу от заключения с ним трудового договора.
Данная позиция находит отражение, в частности, в разъяснениях Роскомнадзора2. Ведомство обращает внимание, что можно без согласия работника обрабатывать его персональные данные, если объем таких данных не превышает установленные перечни, а также соответствует целям трудового законодательства. Далее подробнее рассмотрим основания, которые дают право работодателю, по мнению Роскомнадзора, обойтись без согласия работника при обработке его персданных.
В разъяснениях Роскомнадзора содержится конкретизация случаев, когда получения согласия от работника на обработку персональных данных не требуется.
Так, согласие на обработку персональных данных не потребуется:
1) в ситуациях, предусмотренных коллективным договором, правилами внутреннего трудового распорядка, а также иными ЛНА работодателя, принятыми в порядке, установленном ст. 372 ТК РФ;
2) когда работодатель исполняет свою обязанность по опубликованию и размещению персональных данных работников в Интернет, если такая обязанность предусмотрена законодательством. Например, медорганизация обязана информировать граждан в доступной форме, в том числе через Интернет, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и об их квалификации3. Похожая обязанность установлена для образовательных учреждений4, на сайте которых должны содержаться персональные данные педагогических работников и руководителей;
3) если работодатель обрабатывает специальные категории персональных данных, в том числе сведения о состоянии здоровья, относящиеся к вопросу о возможности выполнения работником трудовой функции (п. 2.3 ч. 2 ст. 10 Закона № 152‑ФЗ). В остальных случаях их обработка без согласия работника не допускается! Напомним, к специальным категориям относятся также данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и т.п.;
4) при передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);
5) для передачи персональных данных работников в Социальный фонд России (п. 2 ст. 12 Федерального закона от 16.07.1999 № 165‑ФЗ «Об основах обязательного социального страхования», ч. 2 ст. 15 Федерального закона от 01.04.1996 № 27‑ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования», п. 2 ст. 14 Федерального закона от 15.12.2001 № 167‑ФЗ «Об обязательном пенсионном страховании в Российской Федерации»);
6) в условиях передачи персональных данных работников налоговой службе, в военные комиссариаты, профсоюзные органы (по запросу в целях контроля за соблюдением трудового законодательства), поскольку работодатель должен исполнять обязанности, предусмотренные трудовым законодательством, иными нормативными правовыми актами, содержащими нормы трудового права, коллективным договором, соглашениями, локальными нормативными актами и трудовыми договорами (ст. 22 ТК РФ). Так, обязанность вести воинский учет и направлять соответствующую персональную информацию о работниках в военкоматы установлена абз. 4 п. 1 ст. 4 Федерального закона от 28.03.1998 № 53‑ФЗ «О воинской обязанности и военной службе»;
Как вести воинский учет, разобрали в статье «Учет военнообязанных: новые требования и ответственность» в № 4’ 2022
Как вести воинский учет, разобрали в статье «Сверка и отчетность в военкомат» в № 6’ 2022
7) в случаях, связанных с выполнением работником должностных обязанностей, в том числе при его командировании (в соответствии с подп. «б» п. 13 Правил предоставления гостиничных услуг в Российской Федерации, утв. постановлением Правительства РФ от 18.11.2020 № 1853; нормативными правовыми актами в сфере транспортной безопасности);
8) при получении и исполнении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства. Хотя Роскомнадзор в своих Разъяснениях это не конкретизирует, но сюда же можно отнести и запросы суда (см. ст. 57 ГПК РФ и ст. 66 АПК);
9) в отношении близких родственников работника без их согласия в объеме, предусмотренном унифицированной формой № Т-25 (в случае использования ее работодателем), а также при получении алиментов, оформлении допуска к государственной тайне, социальных выплат и пр.;
10) для пропускного режима на предприятии при условии, что он организован работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя. Если же пропускной режим осуществляет иная организация, и в ЛНА порядок его организации не прописан, то обработка персональных данных, а также их передача третьим лицам без согласия сотрудников запрещена;
11) для предоставления сведений в банк, обслуживающий платежные карты работников, если в ЛНА, коллективном договоре, договоре на выпуск карты предусмотрена передача работодателем персональных данных работников либо работодатель действует на основании доверенности на представление интересов работников при заключении договора с кредитной организацией на выпуск банковской карты и ее обслуживание.
Поэтому если работник изначально не даст или в последующем отзовет свое согласие на обработку персональных данных в перечисленных случаях, работодатель вправе продолжить такую обработку с соблюдением установленных законодательных требований.
Совсем по-другому следует действовать в случаях, когда нельзя обойти запрет на обработку персданных без согласия работника. Об этом рассказываем далее.
В основном все ситуации, когда запрашивать согласие на обработку персональных данных необходимо, связаны с тем, что правоотношения не являются трудовыми и, следовательно, не подпадают под п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ (для заключения и/или исполнения договора). Тогда работодателю надо обязательно получить согласие на обработку и передачу (а иногда и распространение) персональных данных с указанием целей такой обработки.
Перечислим наиболее часто встречающиеся случаи, когда требуется согласие работника на обработку его персданных:
Пример 1. Согласие на передачу персональных данных работника страховой компании для заключения договора ДМС
Пример 2. Уведомление о последствиях отказа работника от дачи согласия на передачу персональных данных третьему лицу
Как видите, перечень действий с персональными данными, когда от работника потребуется согласие на обработку, довольно широк. Поэтому лучше подстраховаться и запросить с работников согласия, чем не сделать этого и в спорной ситуации у вас их не окажется.
При этом если работник изначально не даст или в последующем отзовет свое согласие на обработку персональных данных в таких случаях, работодателю придется прекратить их обработку, предупредив работника письменно (под его личную подпись) о последствиях отказа или отзыва (см. Пример 2). С одной стороны, это снимет с работодателя ответственность в ситуации, если работник обвинит его в нарушении прав, например, когда ему не оформят полис ДМС из-за того, что он не дал согласия на обработку соответствующих данных о себе (подробнее об ответственности говорим ниже). С другой – возможно, что после разъяснения работодателем неблагоприятных последствий сотрудник одумается и оформит (в том числе заново) письменное согласие.
За обработку персональных данных без согласия работника установлена административная ответственность6. На основании ч. 2 ст. 13.11 КоАП РФ обработка персональных данных без письменного согласия работника влечет наложение административного штрафа:
За повторное совершение данного правонарушения штрафы кратно увеличены и составят:
Повторным, напомним, считается совершение однородного административного правонарушения в течение 1 года со дня вступления в законную силу постановления о назначении административного наказания. Однородным правонарушением считается правонарушение, ответственность за совершение которого предусмотрена одной статьей КоАП РФ.
Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для
этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:
А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!
Для того, чтобы оставить комментарий, необходимо авторизоваться
Сотрудница вышла замуж и сменила фамилию. Требуется ли получение от нее нового согласия на обработку персональных данных?
Любым организациям и ИП так или иначе приходится обрабатывать персональные данные граждан. Показываем на конкретных примерах, какие документы работодателям необходимо иметь в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как правильно их оформить, чтобы снизить риски возникновения споров.
В каких ситуациях и в какие сроки необходимо уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).
Закон о персональных данных требует от работодателей назначить ответственного за организацию обработки персданных. Это может быть сам генеральный директор, а также HR или другое уполномоченное лицо. Но многие не в курсе, что часто одним ответственным не обойтись. Все дело в постановлении Правительства РФ от 01.11.2012 № 1119, которым утверждены требования к защите персональных данных при их обработке в информационных системах персональных данных. Согласно документу обеспечивать такую защиту в определенных случаях должен либо специально уполномоченный работник, либо отдельное структурное подразделение. Автор объясняет, когда в организации такой ответственный сотрудник может быть один, а в какой ситуации понадобится целый отдел; каким критериям он должен соответствовать; можно ли привлечь специалиста(ов) по аутсорсингу; какая ответственность грозит, если вовсе не назначить ответственное лицо. Приводит наглядную таблицу с описанием условий установления уровней защищенности персональных данных при их обработке в информационной системе, которую удобно использовать на практике, чтобы сориентироваться в своих обязанностях в данной сфере. Дает алгоритмы действий работодателя в зависимости от конкретных ситуаций и образец приказа об утверждении перечня работников, имеющих доступ к персональным данным в информационной системе, а также рекомендации, как обеспечить самый простой на сегодняшний день способ защиты. Это необходимый минимум, который должен быть у всех!
Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.
Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.
Все больше компаний вводят в своем офисе систему контрольно-пропускного режима. Это объясняется рядом причин, причем как внутренних, так и внешних – вызванных ужесточением законодательства в части обработки персональных данных, противодействия легализации (отмыванию) доходов, полученных преступным путем. Некоторые организации в принципе обязаны установить контрольно-пропускной режим. Рассказываем со ссылкой на судебную практику, для чего он нужен, как его ввести, какие документы нужно составить и что в них прописать, чтобы в дальнейшем можно было использовать данные из системы контрольно-пропускного режима и учета рабочего времени в спорах с работниками. Приводим образцы текстов положения о пропускном режиме организации и приказа о его утверждении, а также даем формулировки для ПВТР.
Сотрудница вышла замуж и сменила фамилию. Требуется ли получение от нее нового согласия на обработку персональных данных?
Оформить подписку на журнал
«Кадровая служба и управление персоналом предприятия»
можно в любом отделении почты:
