Нарушение персональных данных работников, ответственность, противоречия, ошибки | Trudovoe pravo
ГлавнаяТрудовое право → Нарушение персональных данных работников, ответственность, противоречия, ошибки
Абонентское обслуживание
Аутстаффинг персонала
Подбор персонала, кадровые услуги
Строительство
Недвижимость
Информационные услуги
Арбитражные дела
Кадровый учет
Налоговое право
Защита от потребителя
Авторское право
Трудовое право
Бухгалтерское сопровождение
Ликвидация фирм
Регистрация ООО, ЗАО
Регистрация НКО, НП, АНО
Регистрация ЗАО
Выписки ЕГРЮЛ, ЕГРИП, ЕГРП
Регистрация ИП
Рейтинг пользователей: / 0ХудшийЛучший 

Нарушение персональных данных работников, типовые ошибки, противоречия, ответственность


27 июля 2006 года N 152-ФЗ был принят  ФЕДЕРАЛЬНЫЙ ЗАКОН "О ПЕРСОНАЛЬНЫХ ДАННЫХ" (далее - Закон).  В 2011 году в него были внесены масштабные изменения Федеральным Законом от 25 июля 2011 года N 261-ФЗ "О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ФЕДЕРАЛЬНЫЙ ЗАКОН "О ПЕРСОНАЛЬНЫХ ДАННЫХ"".

В связи с данным законом и изменениями к нему возникает множество вопросов при обработке персональных данных работников.

Какие формальности необходимо соблюсти при обработке персональных данных и какие нарушения обработки персональных данных и ошибки наиболее часто совершают работодатели при работе с персональными данными?

Прежде всего, определим, что такое персональные данные, персональные данные согласно п.1) ст.3 Закона - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Ранее в определении содержался также широкий перечень персональных данных, так, например, было указано, что к персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Не вполне ясен смысл того, что данный перечень убрали из закона, т.к. теперь нормальтивного ориентира, по которому можно понять примерный перечень персональных данных нет.
То есть закон стал более неопределенным и рамытым, что приводит к более чатсому нарушению персональных данных и ошибкам в порядке их обработке.

Статьей 6 Закона установлены ограничения на обработку персональных данных. Так, в частности, указано, что обработка персональных данных допускается в случае, если имеется согласие субъекта персональных данных на обработку его персональных данных. Это предполагает, что для обработки персональных данных работника требуется его согласие.

Существует и другая точка зрения, которая основывается на подпункте статьи 6 Закона, где указано, что  обработка персональных данных возможна без такого согласия, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Основываясь на том, что работник является стороной трудового договора сторонники данной точки зрения указывают, что это как раз и есть данный случай, когда согласие на обработку персональных данных не требуется.

Однако следует иметь ввиду, что многие действия, совершаемые работодателем с персональными данными работников, могут быть истолкованы и как не являющиеся необходимыми для исполнения трудового договора. Так, например, является ли абсолютно необходимым занесение данных работника в программу бухгалтерского учета 1С, бухсофт или иную? Ведь отчетность, например, в пенсионный фонд, справки НДФЛ и прочие могут быть оформлены и без применения данных программ, то есть занесение персональных данных в программу не является необходимым для исполнения трудового договора. А такое занесение (запись) и извлечение данных подпадают под понятие обработки персональных данных. Также не вполне подпадают под исполнение трудового договора и некоторые другие действия, предпринимаемые работодателями, такие как использование персональных данных работников на корпоративных сайтах, получение сведений о работнике от предыдущих работодателей, получение и заполнение анкетных и биографических персональных данных работника и пр.

В связи с этим во избежание каких-либо разночтений о способах и целях обработки персональных данных работников рекомендуется все же получать письменное согласие работника с максимально широким перечнем способов обработки. Это защитит вас в случае проверок со стороны Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, которая является уполномоченном органом в этой сфере.

Обычно работодатели по тем или иным причинам не получают такое согласие, например, либо по незнанию Закона, либо в силу того, что придерживаются вышеописанной точки зрения.

Согласно статье 9 Закона согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.

 

Часто бывает, что отдел кадров еще перед приемом на работу человека при рассмотрении его кандидатуры на должность обзванивает предыдущих работодателей с целью получить какие-либо характеристики. Такое получение персональных данных также требует согласия потенциального работника, то есть еще на собеседовании следует получить от рнего письменное согласие на сбор сведений  у третьих лиц с указанием соответствующей цели.

 

Следует отметить, что Закон предоставляет работодателю право обрабатывать некоторые специфические виды персональных данных работников, чего не могут делать другие операторы персональных данных. Так, согласно ст.10 Закона работодатель может осуществлять обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, если она осуществляется в соответствии с  трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях.

Однако это не значит, что эти данные могут использованы в целях какой-либо дискриминации и разделения работников на какие-либо классы.

 

Работодатель освобожден от установленной ст.22 Закона необходимости уведомления уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, так как вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных обрабатываемых в соответствии с трудовым законодательством.

 

Важным моментом является то, что работники должны быть ознакомлены не только с локальными актами в сфере защиты персональных данных, но и согласно п.8 ст.86 Трудового Кодекса РФ с правами и обязанностями в сфере обработки персональных данных. Это предполагает, что права и обязанности либо должны быть либо включены в локальный нормативный акт, либо в трудовой договор или иной документ, подписываемый работником. При этом желательно получать отдельную подпись работника в том, что с правами и обязанностями в сфере обработки персональных данных он ознакомлен.

Отсутствие ознакомления с правами и обязанностями является нарушением в сфере персональных данных.

 

Ответственность за организацию обработки персональных данных несет назначенное работодателем лицо, обычно руководитель Отдела кадров (ст.22.1 Закона). Назначение ответственного лица оформляется приказом работодателя.

 

Учет обработки персональных данных предполагает наличие ряда документов в компании, таких как:

- положение о порядке обработки персональных данных;

- лист или журнал ознакомления с положением;

- журналы доступа к персональным данным (внутренний доступ, внешний доступ);

- согласие работников на обработку персональных данных;

- обязательство работников, имеющих доступ к персональным данным, не разглашать их.

Кроме того, рекомендуется при формировании личных дел работников ставить отметку на личном деле о том, что оно содержит персональные данные работников и подлежит защите.

Для хранения личных дел необходимо предусматривать отдельный запирающийся шкаф, ключи от которого должны быть только у определенных в локальных актах лиц.

Что касается персональных данных в электронном виде, то они должны быть защищены парольной защитой, то есть какждый пользователь, которому необходим в связи с работой доступ к ним, должен иметь свой логин и пароль на такой доступ.

Отсутствие каких-либо из вышеперечисленных документов или мероприятий является нарушением защиты персональных данных и может повлечь ответственность работодателя.

 

Ответственность за нарушение персональных данных предусмотрена Кодексом об Административных Правонарушениях Российской Федерации и содержитсья в следующих статьях:

 

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

 

Статья 13.14. Разглашение информации с ограниченным доступом
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.

 

 

 

Приходин Сергей Александрович

10.11.2011

Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript

www.ukrat.ru

517-36-96


Comments:

blog comments powered by Disqus
PDF Печать E-mail