Персональные данные работников

Автор: Анна Лукина, ведущий специалист Департамента организации бизнеса Консалтинговой группы "Партнер"
Опубликовано: журнал "Налоговый лоцман", №4 (102), апрель 2009 г.

Каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени в соответствии со статьей 23, 24 Конституции Российской Федерации. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Работа любой организации связана с подбором персонала, а также с накоплением, обработкой, хранением и использованием значительных объемов сведений о работниках. При приеме на работу соискателя работодатель часто требует предоставления сведений личного характера. С вступлением в силу Трудового кодекса Российской Федерации (далее – ТК РФ) с 01.02.2002 г. впервые было закреплено право работников на защиту их персональных данных. Эти положения регулируются статьями 85-90 главы 14 ТК РФ «Защита персональных данных работников».
Понятие персональных данных
Как правило, сведения о персональных данных работника содержатся в кадровой документации (документах по личному составу) организации. В связи с этим отдел кадров (либо другое подразделение) должен обеспечить безопасность таких сведений, их защиту от угроз со стороны потенциальных злоумышленников, которые могут использовать эти данные в противозаконных целях.
Федеральный закон «О персональных данных» №152-ФЗ от 27.07.2006 г определяет персональные данные, как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу, включая его фамилию, имя, отчество, дату и место рождения, адрес проживания, семейное, социальное, имущественное положение, образование, профессию, доходы, другую информацию.
Трудовой кодекс, в ст.85, ограничивает персональные данные работника только теми сведениями, которые характеризуют его как работника. То есть персональными данными работника является информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Однако каких-либо критериев или конкретного перечня персональных сведений ТК РФ все же не устанавливает.
Постановление Госкомстата РФ от 05.01.2004 г. №1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты» предписывает каждому работодателю, независимо от организационно-правовой формы, заполнять на каждого работника личную карточку формы Т-2. Обязанность ведения данной формы установлена также в п.12 Правил ведения и хранения трудовых книжек, утвержденных Постановлением Правительства Российской Федерации от 16.04.2003 г. №225 «О трудовых книжках». В личную карточку Т-2 заносятся сведения о месте жительства работника (фактическом и по прописке), контактных номерах телефонов, о знании им иностранных языков, о состоянии в браке, составе семьи и т.д.
Персональные данные также содержатся в личном деле работника. Первоначально в личное дело группируются документы, содержащие персональные данные работника: заявление работника о приеме на работу, копия приказа о приеме на работу, анкета, автобиография, характеристика-рекомендация, документы об образовании, квалификации или наличии специальных знаний или подготовки, результат медицинского обследования на предмет годности к осуществлению трудовых обязанностей и т.д. в зависимости от установленных работодателем требований к составу личного дела.
Персональные данные работника содержатся и в таких документах, как:
  •     паспорт работника;
  •     трудовая книжка работника;
  •     страховое свидетельство обязательного пенсионного страхования;
  •     документы воинского учета;
  •     приказы по личному составу;
  •     докладные и служебные записки;
  •     материалы служебных проверок и расследований и т.д.
Зачастую документы, содержащие персональные данные и вовремя направленные работодателю, обеспечивают для работника предоставление определенных гарантий и компенсаций. Например, документы о составе семьи работника необходимы для предоставления ему гарантий, связанных с выполнением семейных обязанностей; документы о беременности работницы и о возрасте ее детей – для предоставления установленных законом условий труда, гарантий и компенсаций; документы о том, что работник является донором или об установлении инвалидности работника также определяют его право на дополнительные гарантии и компенсации.

Обработка персональных данных работника
Закон №152-ФЗ «О персональных данных» достаточно широко трактует такое понятие, как обработка персональных данных, включая в него сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
В соответствии с ч.2 ст.85 ТК РФ обработкой персональных данных работника является получение, хранение, комбинирование, передача или любое другое использование персональных данных работника (например, формирование списка работников, составленного по определенным критериям, отчет по сотрудникам и т.д.).
В целях обеспечения прав и свобод человека и гражданина согласно ст.86 ТК РФ работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1)    обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Таким образом, в каких-либо иных целях организации обработка персональных данных запрещена;
2)    при определении объема и содержания обрабатываемых персональных данных работника, работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами;
3)    все персональные данные работника следует получать у него самого. В случае, когда персональные данные работника возможно получить только у третьей стороны, работника необходимо уведомить об этом заранее, а также получить от него письменное согласие. В уведомлении работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Таким образом, сбор сведений о работнике без его ведома не допускается;
4)    работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. Следует обратить внимание на то, что в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника, но только с его письменного согласия;
5)    работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности. Исключение составляют случаи, предусмотренные ТК РФ или иными федеральными законами. В качестве примера можно привести членство в общественных организациях экстремистского толка;
6)    при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Данный запрет основан на том, что полученные данные могут быть использованы не в том контексте. В каждой ситуации необходимо руководствоваться информацией, полученной путем изучения всего объема имеющихся документов и сведений;
7)    защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом и другими федеральными законами;
8)    работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Подобными документами могут быть Положение о персональных данных, Инструкция по работе с персональными данными и т.д.;
9)    работники не должны отказываться от своих прав на сохранение и защиту тайны. Если в локальных нормативных актах работодателя о персональных данных или в трудовом договоре присутствует норма о том, что работник отказывается от указанных прав, то в этой части документ будет считаться недействительным;
10)    работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Одной из главных задач при этом является принятие локальных нормативных актов о персональных данных.

Хранение и использование персональных данных работников

Работодателем должен быть установлен порядок хранения и использования персональных данных работников с соблюдением требований Трудового кодекса, иных федеральных законов. Данное положение содержится в ст.87 ТК РФ.
Сроки хранения документов, содержащих персональные данные работника определяются в соответствии с «Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», утв. Росархивом 06.10.2000 г. Например, в соответствии с п.337 Перечня личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов организации; работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно. Личные дела остальных работников хранятся 75 лет.
Подлинные личные документы (трудовые книжки, дипломы, свидетельства) хранятся в организации до востребования. Невостребованные – не менее 50 лет (п.342 Перечня). Следует напомнить, что согласно п.45 Правил ведения и хранения трудовых книжек ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на работодателя. Работодатель в свою очередь приказом устанавливает лицо, ответственное за организацию работы с трудовыми книжками.
В целях обеспечения сохранности документов по личному составу при преобразовании, реорганизации, ликвидации организации Распоряжение Правительства РФ от 21.03.1994 г. №358-р рекомендует включать в учредительные документы правила учета и сохранности документов по личному составу, а также своевременной передачи их на государственное хранение при реорганизации или ликвидации юридического лица.
Работодатель обязан обеспечить защиту персональных данных сотрудника от неправомерного использования или утраты. Для осуществления такой защиты он должен принимать определенные меры, направленные на защиту персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения персональных данных.

Передача персональных данных работника

Передача персональных данных работника является одной из разновидностей обработки персональных данных. Данный процесс регулируется ст.88 ТК РФ.
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
1)    работодателю запрещается сообщать персональные данные работника без письменного согласия самого работника третьей стороне либо в коммерческих целях. Исключение составляют случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника. Здесь следует обратить внимание на то, что работодатель в данном случае самостоятельно оценивает степень угрозы жизни и здоровью работника и с целью предупреждения такой угрозы предоставляет персональную информацию третьим лицам. Примером данного положения может быть указание ст.228 ТК РФ о незамедлительном информировании при несчастном случае родственников пострадавшего работника, а также ряд государственных и местных властных структур;
2)    работодатель обязан предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами. Например, при проведении оперативно-розыскных мероприятий, когда исследуются документы, происходит опрос, наведение справок и т.д.;
3)    индивидуальный предприниматель, работодатель в пределах своей организации должны осуществлять передачу персональных данных работника в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
4)    работодатель вправе разрешить доступ к персональным данным работников только специально уполномоченным лицам. При этом указанные лица должны иметь право получать только те персональные данные работника, которые ему необходимы для выполнения конкретных функций. Данное положение целесообразно включить в текст локального нормативного акта о персональных данных, где четко прописать, кто из руководителей, других работников имеет доступ к персональным данным работников, в каком объеме предоставляется такой доступ и т.д.;
5)    работодателю запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником его трудовой функции. Например, работодатель обладает правом запросить медицинское заключение в случае необходимости перевода беременной женщины на работу, исключающую воздействие неблагоприятных факторов, что подтверждает ст.254 ТК РФ;
6)    работодатель вправе передавать персональные данные работника представителям работников лишь в объеме, необходимом для выполнения представителями указанных ими функций. Например, в соответствии со ст.373 ТК РФ при расторжении трудового договора по инициативе работодателя на основании п.2, 3, 5 ч.1 ст.81 ТК РФ на работника, являющегося членом профсоюза, работодатель обязан передать профсоюзному органу копии документов, являющихся основанием для увольнения и проект приказа.
Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.
В случае, когда обратившееся с запросом третье лицо не уполномочено федеральным законом на получение персональных данных работника либо отсутствует письменное согласие работника на предоставление его персональных сведений, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

Обеспечение защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, в соответствии со ст.89 ТК РФ, работники имеют право:
1)    получить полную информацию о своих персональных данных, об обработке этих данных. Например, с каждой внесенной в трудовую книжку записью работодатель обязан знакомить владельца трудовой книжки под роспись в личной карточке. Данное требование установлено п.12 Правил ведения и хранения трудовых книжек;
2)    получить свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом. Так, в соответствии со ст.62 ТК РФ работник в любое время вправе потребовать от работодателя предоставления копий документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование, о периоде работы у данного работодателя и т.д.);
3)    определить своих представителей для защиты своих персональных данных. Как правило, представителями работников являются профсоюзные организации. Однако работник может и самостоятельно защищать свои права;
4)    получить доступ к своим медицинским данным с помощью медицинского специалиста по собственному выбору работника;
5)    требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
6)    требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
7)    обжаловать в суд любые неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.

Ответственность за разглашение персональных данных работника
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в соответствии со ст.90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
В первую очередь ответственность за распространение персональных данных несет работодатель, а также ответственные лица: руководитель отдела кадров или работник, отвечающий за сохранность этих данных, согласно условиям трудового договора или должностной инструкции. Таким образом, главное условие защиты персональных данных – четкая регламентация функций работников отдела кадров, а также обеспечение работодателем защиты документов, дел, картотек, журналов персонального учета и баз данных работников от несанкционированного доступа.
К сотруднику, отвечающему за хранение персональной информации в силу его трудовых обязанностей, работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст.192 ТК РФ, а именно: замечание, выговор и увольнение. В то же время уволить за разглашение персональных данных по подп.«в» п.6 ч.1 ст.81 ТК РФ можно только тех работников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Кроме работников отдела кадров доступ к персональным сведениям также имеют работники бухгалтерии, руководитель организации и лица, его заменяющие.
В случае если работник узнал персональные данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации) и в его должностные обязанности не входит работа с личными сведениями, увольнение за разглашение персональных данных будет являться незаконным.
Моральный вред, причиненный работнику неправомерными действиями или бездействием работодателя, возмещается работнику в денежной форме в размерах, определяемых соглашением сторон трудового договора в соответствии со ст.237 ТК РФ. При возникновении спора факт причинения работнику морального вреда и размеры его возмещения определяются судом. В судах рассматриваются индивидуальные трудовые споры о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника (ст.391 ТК РФ).
Административная ответственность за нарушение законодательства о труде введена ст.13.11 КоАП РФ. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на должностных лиц – от 5 до 10 МРОТ, на юридических лиц – от 50 до 100 МРОТ.
Ответственность за разглашение конфиденциальной информации предусмотрена ст.13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило ее, то на такого работника будет наложен административный штраф в размере от 40 до 50 МРОТ.
    В соответствии со ст.150, 151, 152 ГК РФ гражданско-правовая ответственность возможна в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина.
Помимо этого сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены и к уголовной ответственности.
Уголовная ответственность грозит в том случае, если эти действия совершены намеренно, из корыстной или иной личной заинтересованности и повлекли за собой нарушение законных прав и свобод граждан.
Так, ст.137 Уголовного кодекса РФ устанавливает, что незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказывается штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
И в заключение хочется отметить, что защита персональных данных работников, прежде всего, должна обеспечиваться не мерами ответственности, а четкой регламентацией порядка обращения с документацией, образующейся в процессе основной деятельности отдела кадров организации.
В следующем номере журнала мы подробно остановимся на разработке Положения о защите персональных данных работников – обязательном локальном нормативном акте, регламентирующем порядок сбора, обработки, хранения и использования персональных данных.