Защита персональных данных работников

Способы защиты персональных данных сотрудников
Для полноценного ответа на поставленный вопрос необходимо разобраться со статусом сотрудников и понятием трудовых отношений.

Согласно ст. 15 ТК РФ Трудовые отношения – отношения, основанные на:
1. соглашении между работником и работодателем о
2. личном выполнении работником
3. за плату
4. трудовой функции в интересах,
5. под управлением и контролем работодателя,
6. подчинении работника правилам внутреннего трудового распорядка при обеспечении работодателем условий труда.
В отсутствие совокупности, как минимум, нескольких из перечисленных признаков трудовых отношений - трудовое законодательство не применяется.

Следует понимать, что трудовые отношения всегда начинаются и заканчиваются обработкой персональных данных, при чем, обработка персональных данных всегда предшествует их возникновению.

Риски нарушения норм права, относящихся к персональным данным в трудовых отношениях, присутствуют на каждом этапе обработки персональных данных работников, в частности, это связано с:

1. несоблюдением обязательных требований в процессе сбора информации о будущем и существующем работнике;

2. нарушением правил оформления носителей персональных данных работников (в том числе потенциальных работников/кандидатов на вакансии и бывших работников);

3. ошибками в определении и оформлении полномочий лиц, ответственных за обработку персональных данных у работодателя;

4. неправильным хранением и передачей персональных данных у работодателя и передачей данных третьим лицам;

5. несоблюдением правил при прекращении обработки персональных данных.

В качестве примеров могу привести несколько типичных нарушений:

1. служба безопасности компании собирает данные о будущем работнике или об уже работающем лице с использованием, в том числе, баз криминалистического учета, сведений о привлечении к административной ответственности и т.п.;

2. в анкете работника не указано, что сведения о нем будут также занесены в корпоративную базу данных на электронных носителях. Тем самым компания не получает на то согласие работника;

3. в трудовом договоре и должностных инструкциях работника, осуществляющего обработку персональных данных, не конкретизированы соответствующие обязанности либо должностные инструкции с соответствующим содержанием отсутствуют;

4. не ограничен круг лиц, имеющих доступ к электронной базе данных; допущено открытое хранение данных работников на бумажных носителях;

5. данные о бывшем работнике сообщены его новому или потенциальному работодателю, выложены в сеть Интернет.

Далеко не все нарушения в области персональных данных работников обусловлены сознательным (виновным) противоправным поведением работодателя или отдельных работников. Значительный объем нарушений обусловлен недостатками действующего законодательства в сфере персональных данных, а также несовершенством практики его применения.

Основные недостатки правового регулирования связаны с отсутствием четкого понятийного аппарата в нормативных актах, в том числе одного уровня, регулирующих смежные общественные отношения. Кроме того, не обходится без противоречий отдельных положений нормативных актов.

В качестве примера можно рассмотреть положения главы 14 ТК РФ содержаться в разделе, посвященном трудовому договору (раздел III «Трудовой договор»). Это означает, что соответствующие нормы, формально, не могут применяться к случаям, когда лицо не находится в трудовых отношениях с конкретным работодателем (лицо еще не вступило в трудовые отношения).

Это касается случая, когда потенциальный работник проходит конкурс на замещение вакантной должности, проходит проверку службы безопасности компании.

В подобных ситуациях должны приниматься общие положения Федерального закона «О защите персональных данных». Если это специальные случаи, то они регламентируются особым образом (законом «о государственной гражданской службе», «о муниципальной службе», «о военной службе» и т.д.).

Неопределенность с применением главы 14 ГК РФ к лицам, не состоящим (не состоявшим) в трудовых отношениях с конкретным работодателем, обусловлены как недостатками формулировок норм данной главы (например: обработка персональных данных работодателем практически всегда предшествует оформлению трудовых отношений), так и содержанием пункта 1 части 1 ст. 86 ТК РФ, согласно которому обработка персональных данных работника может осуществляться, в том числе, в целях содействия работникам в трудоустройстве.

Последнее положение, однако, может применяться в случае оказания работодателем содействия в трудоустройстве высвобождаемым работникам (например, в случае планируемого сокращения штатов). При этом возможность передачи сведений третьим лицам в этих целях должна быть письменно согласована работником. Согласие должно быть конкретным.

Основополагающий принцип при обработке ПД в трудовых отношениях: «Цель должна соответствовать существу трудовых отношений», т. е. выполнению работником трудовой функции.

Данные, обработка которых правомерна:
- ФИО, возраст, пол и паспортные данные; - сведения о месте жительства/пребывания; -ИНН, СНИЛС, сведения об отношении к воинской обязанности; - данные об образовании, квалификации, опыте работы; - состояние здоровья (но только, если прямо применимо в связи с характером/условиями работы) и т.п.
Данные, обработка которых неправомерна: - сведения о близких родственниках, их паспортные данные (за некоторыми специальными случаями); - сведения о судимости (за некоторыми исключениями); - сведения об увлечениях, хобби и т.п.; - сведения о личной жизни; - сведения о составе и размере имущества; - сведения о перенесенных заболеваниях (за некоторыми исключениями) и т.п.

Необходимо обратить внимание на обязательность получения согласия на обработку биометрических персональных данных (например, при фотографировании на пропуска). В Определении от 05.03.2018 N 307-КГ18-101 Верховный суд согласился с позицией нижестоящих судов, что сбор, оформление размещение, использование фотографий подпадают под понятие обработки персональных данных с позиции части 3 ст. 3 Закона о персональных данных.

Следовательно, любая обработка фотографических изображений граждан, в том числе для целей оформления пропусков, внутренних дел и документов организаций, требует получения согласия субъектов персональных данных.

В то же время, указанное Определение продемонстрировало разницу в подходах судов к установлению факта дачи согласия на обработку персональных данных.

Так, суды нижестоящих инстанций, зачастую, делают вывод об отсутствии согласия на обработку персональных данных, если отсутствует один или несколько элементов такого согласия, предусмотренных ст. 9 Закона о персональных данных. Например, не указана цель обработки персональных данных или не указан срок, на который дается согласие.

Работник может быть уволен за однократное нарушение обязанностей по неразглашению персональных данных при совокупности обстоятельств:

- наличие трудового договора, правил внутреннего распорядка и должностных инструкций с соответствующими обязательствами работника;

- наличие утвержденного порядка обработки персональных данных в организации;

- документирование факта несоблюдения работником своих трудовых обязанностей;

- документирование запроса объяснений у работника;

В силу пп. «в» п. 6 ч. 1 ст. 81 ТК РФ трудовой договор может быть расторгнут работодателем в случае однократного грубого нарушения работником трудовых обязанностей, выразившихся в разглашении охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.

В соответствии с п. 43 Постановления Пленума Верховного Суда РФ N 2 "О применении судами Российской Федерации Трудового кодекса Российской Федерации", в случае оспаривания работником увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ , работодатель обязан предоставить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к охраняемой законом тайне, либо к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей, и он обязывался не разглашать такие сведения.

Следует помнить, любой случай нарушения работником правил обработки персональных данных, в особенности при последующем увольнении виновного, может послужить основанием для проведения проверки в отношении организации - работодателя. И в дальнейшем компания может быть привлечена к административной ответственности.

В части ответственности за нарушение правил обработки персональных данных предусмотрены следующие положения:

1. Статья 13.11 КоАП РФ. Предусматривает ответственность до 75 тысяч рублей за обработку персональных данных без согласия и до 50 тысяч рублей если производится обработка данных, которая не совместима с целями обработки данных.

2. Статья 13.14 КоАП РФ. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, предусматривает штраф до 5 тысяч рублей на должностных лиц.

3. Статья 137 УК РФ. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации – максимальным наказанием является лишение свободы сроком до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет.

В отличие от уголовной к административной ответственности привлекаются как физические, так и юридические лица. Санкции (размеры штрафов) для юридических лиц, как правило, существенно (в разы) превышают размеры санкций для физических лиц.

Некоторые рекомендации по снижению риска привлечения к ответственности за нарушения, связанные с обработкой персональных данных:

1. Максимально формальный (буквальный) подход к соблюдению требований законодательства о персональных данных;

2. Оформление согласий на обработку данных при любом (по возможности) взаимодействии с физическими лицами, в процессе которого осуществляется получение персональных данных;

3. Обеспечение соответствия объема персональных данных целям их обработки;

4. Подготовка детализированных форм согласий на обработку данных для наиболее типичных случаев и для различных видов персональных данных;

5. Подготовка внутренних правил обработки персональных данных и иных документов, определяющих правовой статус работников в компании, назначение ответственных лиц (приказом/распоряжением работодателя);

6. Назначить ответственного за обработку персональных данных на предприятии;

7. Обращаться к специализированным юристам, которые работают с персональными данными.
Контакты
info@kondratov.online
Москва, м. Красносельская
оставляя свои данные выдаете согласие на обработку персональных данных в целях получения консультации по телефону или e-mail
Made on
Tilda