Обеспечение работодателем конфиденциальности персональных данных работников

В соответствии с п. 1 ст. 8 Федерального закона «Об информации, информационных технологиях и о защите информации» (далее – Закон Об информации) граждане и организации вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных указанным законом и другими федеральными законами.

К субъектам, осуществляющим получение информации, относятся, в том числе  работодатели (получают информацию о своих сотрудниках). Законодательство возлагает на работодателей обязанность обеспечения конфиденциальности персональных данных с момента первого получения таких сведений.

В области обеспечения конфиденциальности персональных данных работников можно выделить два основополагающих законодательных акта: Трудовой кодекс Российской Федерации (далее – ТК РФ) и Федеральный закон «О персональных данных» (далее – Закон о персональных данных). Между указанными актами существует  определенная взаимосвязь: Закон о персональных данных направлен на регулирование обработки персональных данных всех без исключения граждан, а ТК РФ – только работников.

В соответствии с ТК РФ персональными данными работника является информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Закон о персональных данных приводит примеры такой информации: фамилия, имя, отчество, год, месяц и место рождения, адрес, семейное, социальное,  имущественное положение, образование, профессия.

При установлении трудовых отношений происходит обработка работодателем персональных данных работника, под которой понимается получение, систематизация, накопление, хранение, уточнение, использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.

Необходимо отметить, что законодательством установлен ряд положений, которые работодатель обязан учитывать. К таким законоположениям относятся: условия обработки персональных данных, меры защиты персональных данных, права работников при обработке их персональных данных и ответственность в области обработки персональных данных. Как показывает практика, незначительное число работодателей принимают во внимание указанные законоположения, что, безусловно, способно привести к негативным  последствиям для них.

Условия обработки персональных данных

Законодательством устанавливаются условия (по терминологии ТК РФ – общие требования) обработки персональных данных.

Во-первых, в ряде случаев работодатель обязан получить согласие работника (а если говорить более точно – соискателя работы) на обработку его персональных данных. Данное правило закреплено в ст. 6 Закона о персональных данных.

Необходимость получения согласия может возникнуть при приеме на работу граждан, то есть до момента заключения трудового договора. Закон о персональных данных особо отмечает, что принятие решения о предоставлении своих персональных данных и дача согласия на их обработку по общему правилу осуществляются своей волей и в своем интересе. При этом обязанность по представлению доказательства получения согласия на обработку персональных данных возлагается на работодателя.

Поскольку на работодателя возлагается бремя доказывания наличия согласия на обработку персональных данных, то целесообразно до момента заключения трудового договора в обязательном порядке получение такого согласия в письменной форме.

Необходимо обратить внимание, что получение согласия нужно, если трудовой договор еще не заключен.

Еще один случай получения согласия на обработку персональных данных, но уже работника, связан с обработкой данных о частной жизни. На основании ст. 86 ТК РФ в случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Во-вторых, работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях.

В-третьих, абсолютно все персональные данные по общему правилу необходимо получать у работника. При возникновении ситуаций, при которых невозможно получение данных непосредственно от работника работодатель обязан заранее в соответствии со ст. 86 ТК РФ уведомить работника и от последнего должно быть получено письменное согласие на получение сведений о нем от других лиц.

В-четвертых, работодатель вправе поручить обработку персональных данных работника другому лицу с согласия работника. При этом в поручении работодателя  должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.

В-пятых, работодатель обязан разрешать доступ к персональным данным работников  только специально уполномоченным лицам. Кроме того, работодатель обязан установить для этих лиц доступ только к тем персональным данным, которые необходимы для выполнения конкретных функций.

В-шестых, обработка персональных данных работника в целях продвижении товаров, работ и услуг возможно только после получения письменного согласия на это работника.

Необходимо обратить пристальное внимание на главное условие обработки персональных данных работника: соблюдение конфиденциальности персональных данных работника. В первую очередь обязанность соблюдения данного требования возлагается на работодателя. Под конфиденциальностью персональных данных Закон о персональных данных понимает обязательное для соблюдения требование не допускать распространения персональных данных без согласия работника или наличия иного законного основания.

Меры защиты персональных данных работника

Статья 19 Закона о персональных данных обязывает работодателя предпринимать необходимые правовые, организационные и технические меры для защиты персональных данных. Ранее действующая редакция Закона не содержала в себе указания о правовых мерах. В этой части Закон не согласовывался с Законом об информации (ст. 16), который содержал указание о правовых мерах, предпринимаемых для защиты информации. В настоящий момент можно констатировать, что данное несоответствие устранено.

Работодатель самостоятельно принимает правовые, организационные и технические меры. Закон о персональных данных говорит лишь о том, что такие меры должны быть необходимыми. Ориентиром в определении необходимости принимаемых мер служит цель их принятия: защита персональных данных работника от неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Кроме того, принятие необходимых мер должно обеспечивать сохранение конфиденциальности персональных данных работника.

Конкретные меры правового, организационного и технического характера в полной мере обусловлены целями защиты персональных данных.

Ориентируясь на Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 05.02.2010 г. № 58, можно выделить следующие меры организационного и технического характера.

Меры организационного характера:

- внедрение разрешительной системы допуска работников и иных лиц к ресурсам, содержащим персональные данные;

- ограничение доступа работников и иных лиц в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители персональных данных;

- контроль несанкционированного доступа к носителям персональных данных;

- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

- организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных.

К мерам технического характера можно отнести:

- резервирование технических средств;

- дублирование носителей персональных данных;

- использование защищенных каналов связи;

- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Мерами правого характера является отражение во внутренних документах порядка установления и применения организационных и технических мер. Ярким примером правовых мер является принятие в соответствии с ТК РФ работодателем документа, устанавливающего порядок обработки персональных данных работника (ст. 86), который должен включать в себя также порядок хранения, использования (ст. 87) и передачи (ст. 88) персональных данных.

TК РФ (ст. 86) указывает, что работодатели и работники должны совместно вырабатывать меры защиты персональных данных работников. Данная формулировка не совсем корректна. Законодатель, видимо, имел в виду, что работодатель обязан учитывать мнение работников при разработке мер защиты. Инициатива разработки мер защиты может исходить от любой из сторон трудового договора. Но поскольку работники должны быть ознакомлены под роспись с правилами обработки данных, то активную позицию в разработке мер защиты персональных данных в любом случае вынужден занять работодатель. В связи с тем, что ТК РФ не раскрывает форму совместной разработки мер защиты, то можно сделать вывод, что работодатель обязан всего лишь принимать во внимание позицию работников, но не обязан ее учитывать.

Права работника при обработке персональных данных

Статья 86 ТК РФ содержит трудно объяснимое правило, в соответствии с которым работники не должны отказываться от своих прав на сохранение и защиту тайны персональных данных. Странный характер указанной нормы проявляется также при сопоставлении ее с положением ст. 88 ТК РФ, в соответствии с которым работодатель вправе сообщить персональные данные работника только при получении письменного согласия работника.

Что же необходимо иметь в виду работодателю в области защиты персональных данных работника?

Работники имеют право на полную информацию об их персональных данных и обработке этих данных. Под этим подразумевается право работника при обращении или при подаче запроса получить информацию о цели обработки данных, о способах обработки, применяемых работодателем, о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ, о сроках обработки и сроках хранения данных, о перечне обрабатываемых данных и источнике их получения.

Также работники имеют право на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника. В случае, если данное законоположение не имело бы продолжения в виде «за исключением случаев, предусмотренных федеральными законами», то на практике могли возникнуть неблагоприятные последствия для работодателя при предоставлении таких записей. Связано это с тем, что персональные данные могут быть включены в документы, содержащие информацию, в отношении которой установлен режим коммерческой тайны. При предоставлении таких записей происходило бы разглашение коммерческой тайны, что крайне негативно отражалось бы на интересах работодателя. Безусловно, в этих случаях на работника возлагается обязанность сохранять в тайне полученные сведения. Но увеличение числа лиц, осведомленных об информации, в отношении которой установлен режим коммерческой тайны, приведет к возрастанию возможности ее утечки.

Работники вправе требовать исключения или исправления неверных или неполных персональных данных. В этом случае работодатель после обращения работника или получения от него запроса обязан осуществить блокирование персональных данных и проверку по поступившей информации. При подтверждении недостоверности персональных данных работодатель обязан уточнить данные и снять их блокирование.

Как было указано выше работодатель при отсутствии возможности получить персональные данные непосредственно у работника, а также при наличии его письменного согласия, вправе получить эти данные у третьих лиц.  Если работодатель нарушит это правило, то работник в соответствии со ст. 21 Закона о персональных данных вправе требовать блокирования данных. В этом случае работодатель в срок, не превышающий трех рабочих дней с даты выявления неправомерных действий, обязан устранить допущенные нарушения. При невозможности устранения допущенных нарушений работодатель в указанный выше срок обязан уничтожить персональные данные.

При отказе работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующем обоснованием такого несогласия.

Персональные данные работника по его письменному согласию (а также в случаях, предусмотренных законодательством) могут быть сообщены третьим лицам. При обнаружении и подтверждении факта недостоверности персональных данных работника он вправе требовать, чтобы работодатель известил всех лиц, которым ранее были сообщены недостоверные данные, обо всех произведенных в них исключениях, исправлениях и дополнениях.

Кроме того, работник вправе обжаловать в уполномоченный орган по защите прав субъектов персональных данных или суд любые неправомерные действия или бездействие работодателя при обработке и защите персональных данных.

Ответственность в области обработки персональных данных работника

ТК РФ и Закон о персональных данных содержат правило о том, что лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работника, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности.

В соответствии со ст. 192 ТК РФ работодатель вправе применить следующие дисциплинарные взыскания: замечание, выговор, увольнение. Обязательным условием наложения дисциплинарного взыскания является необходимость принятия во внимание  тяжести совершенного проступка и обстоятельств, при которых он был совершен. Кроме того, перед применением дисциплинарного взыскания работодатель обязан затребовать от работника письменное объяснение.

Применение дисциплинарного взыскания в виде увольнения за разглашение персональных данных другого работника предусмотрено ст. 81 ТК РФ.

Меры дисциплинарной ответственности вправе применять исключительно работодатель. Необходимо обратить внимание на то, что в соответствии со ст. 192 ТК РФ работодатель именно имеет право применить дисциплинарные взыскания, в том числе увольнение за разглашение персональных данных, но не обязан. Но необходимо отметить, что для работодателя не целесообразно закрывать глаза на факты разглашения персональных данных и не увольнять виновных сотрудников. Дело в том, что неприменение ответственности к виновному лицу может послужить примером для остальных работников и привести к новым фактам разглашения персональных данных.

Возможность привлечения работодателя к материальной ответственности за разглашение персональных данных ограничена лишь требованием возмещения морального вреда. В данном случае работнику достаточно доказать только факт разглашения работодателем персональных данных. Суд при определении размеров компенсации в соответствии со ст. 151 Гражданского кодекса Российской Федерации (далее – ГК РФ) принимает во внимание степень вины работодателя, степень физических и нравственных страданий, связанных с индивидуальными особенностями лица, которому причинен вред, и иные заслуживающие внимания обстоятельства.

Вызывает большие сомнения закрепление положений о возмещении морального вреда, причиненного работнику, в разделе ТК РФ, посвященному материальной ответственности сторон трудового договора. Более обоснованным (раз законодательство разделяет материальную и гражданско-правовую ответственность) является отнесение компенсации морального вреда к гражданско-правовой ответственности. К тому же законодательство позволяет сделать такой вывод.

Кроме того, в соответствии со ст. 17 Закона об информации лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа (к которой по праву относятся персональные данные работников) или иным неправомерным использованием такой информации, вправе обратиться в суд с иском о защите чести, достоинства и деловой репутации. В этом случае необходимо иметь в виду, что ст. 152 ГК РФ устанавливает условия удовлетворения указанных требований: распространенные сведения должны порочить честь, достоинство и деловую репутацию работника, а лицо, распространившее эти сведения, не докажет, что они соответствуют действительности.

Работодателю необходимо со всей серьезностью подходить к установлению и соблюдению надлежащего порядка обработки и защиты персональных данных работников. Связано это, в том числе, что в соответствии со ст. 1068 ГК РФ юридическое лицо (работодатель) возмещает вред, причиненный его работником при исполнении трудовых обязанностей. Следовательно, если при разглашении персональных данных работника другим работником первый из них вправе требовать возмещения вреда с работодателя, который имеет право обратиться к виновному работнику.

Работодатель может быть привлечен к административной ответственности в соответствии со ст. 13.11 Кодекса Российской Федерации об административных правонарушениях за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Правда, максимальный размер штрафа всего лишь десять тысяч рублей. Необходимо отметить, что к ответственности по указанной статьей могут быть привлечены также граждане и должностные лица.

К субъектам уголовной ответственности можно отнести любых граждан, в том числе сотрудников работодателя, которые незаконно собирают сведения о частной жизни лица, составляющие его личную или семейную тайну, без его согласия (ст. 137 Уголовного кодекса Российской Федерации (далее – УК РФ)), осуществляют нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений работника (ст. 139 УК РФ).

Вывод

Законодатель со временем осознал важность частной жизни для любого гражданина. Этим фактом можно объяснить принятие специального закона в этой области: Закон о персональных данных.

Закон о персональных данных, Закон об информации и ТК РФ обязывают работодателя предпринимать необходимые меры по обеспечению конфиденциальности  персональных данных сотрудников. Кроме того, указанные законодательные акты наделяют работников рядом прав в области обеспечения конфиденциальности их персональных данных, которые работодатель обязан соблюдать. ТК РФ в свою очередь указывает на необходимость работодателя и работников совместно разрабатывать меры защиты персональных данных сотрудников.

Работодатели не в полной мере в настоящий момент осознали значимость обеспечения конфиденциальности персональных данных. Об этом свидетельствует отсутствие во многих организациях внутренних документов, которые регулируют обработку персональных данных. Хотя к этому обязывает ТК РФ, который действует уже не один год.

Деятельность работодателя должна осуществляться в рамках, установленных законодательством. Это правило в полной мере относится и к обеспечению конфиденциальности персональных данных работников. Более того, такое обеспечение в большей мере выгодно и для самого работодателя. Во-первых, принятие соответствующих правовых, организационных и технических мер положительно отразится на дисциплине труда, а, во-вторых, максимально позволит избежать судебных разбирательств, связанных с защитой прав и интересов работника, персональные данные которого были разглашены.

В случае возникновения вопросов предлагаем звонить по телефонам: +7 (499) 390-10-96, + 7 (926) 559-56-19