Обработка персональных данных работников

241
04.12.2007 вступило в силу Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 17.11.2007 № 781. Положение направлено на реализацию ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), которая устанавливает меры по обеспечению безопасности персональных данных при их обработке, в том числе вне информационных систем этих данных. В настоящей статье рассматриваются отдельные вопросы, которые могут возникнуть в практике работодателей в связи с действием указанных нормативных актов.

Обработка информации о работниках начинается еще до заключения трудового договора — например, когда работодатель получает и анализирует резюме кандидатов на вакантные должности. Обработка информации продолжается в процессе работы сотрудника. Классический пример — обработка информации, содержащейся в документах, предъявляемых работодателю будущим работником при заключении трудового договора: в паспорте, трудовой книжке, документе об образовании и др. (ст. 65 ТК РФ). Работодатель обрабатывает информацию о бывших работниках уже после прекращения трудовых отношений с ними, так как в соответствии с п. 3 ст. 3 Закона о персональных данных хранение персональных данных представляет собой одну из разновидностей их обработки. Так, в соответствии с законодательством об архивном деле работодатели обязаны обеспечивать финансовые, материально-технические и иные условия, необходимые для комплектования, хранения, учета и использования архивных документов, отражающих трудовые отношения работника с работодателем, в течение сроков их хранения, установленных нормативными правовыми актами РФ1.

Вместе с тем практика показывает, что отдельные работодатели даже не подозревают о том, что обработка персональных данных работников урегулирована законодательно и существуют определенные требования к такой обработке и санкции за их несоблюдение.

Как ни странно, иностранные компании, осуществляющие деятельность в России через филиалы и представительства или участвующие в российских юридических лицах, зачастую интересуются вопросами обработки персональных данных больше, нежели их российские коллеги. Вероятно, это объясняется тем, что в западных странах законодательство о персональных данных развивается и совершенствуется уже многие годы2, в то время как в России требования к обработке персональных данных работников были впервые законодательно закреплены только в ТК РФ, введенном в действие с 01.02.2002.

Во многих иностранных компаниях, в особенности в транснациональных корпорациях, уже давно действуют подробные положения о защите персональных данных работников. Зачастую при выходе транснациональных корпораций на российский рынок их руководство пытается распространить свои внутренние, действующие на глобальном уровне положения о персональных данных на российские подразделения.

На практике процесс адаптации внутренних положений иностранных компаний о персональных данных к российским условиям не всегда проходит гладко: иностранные компании часто не готовы пересматривать единые и применяемые во всех подразделениях корпорации правила в соответствии с требованиями российского законодательства. Однако стремление соблюдать законы государств, в которых они осуществляют свою деятельность, а также риски наступления отрицательных последствий из-за несоблюдения законодательных требований в большинстве случаев заставляют их идти на уступки и принимать меры по адаптации своих внутренних положений для российских подразделений.

Невнимание работодателей к требованиям при обработке персональных данных работников можно также объяснить тем, что на практике достаточно редки случаи применения санкций за их нарушение. Вместе с тем такие случаи все же встречаются3, и можно предположить, что с развитием законодательства о персональных данных санкции к нарушителям будут применяться все чаще.

В I квартале 2008 г. в Правительство РФ должен быть представлен проект постановления об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации4.

Ниже автор приводит наиболее распространенные ситуации, когда работодатели сталкиваются с обработкой персональных данных.

Передача персональных данных работников юридическим лицам в иностранных государствах

Российские подразделения иностранных компаний зачастую передают персональные данные своих российских работников в головную иностранную компанию, которая аккредитовала филиал (представительство) в России или владеет акциями (долями) российского юридического лица. Также распространены случаи, когда данные передаются в иностранную компанию, формально не связанную с российским подразделением, но входящую в группу иностранных компаний, осуществляющую деятельность в России.

Как правило, такая практика объясняется тем, что многие решения в отношении работников российского подразделения (о переводе на вышестоящую должность, увеличении размера заработной платы, выплате премий, увольнении и т. д.) принимаются за пределами РФ, а потом оформляются в России в соответствии с требованиями российского законодательства. Соответственно, для принятия подобных решений руководителям группы, отвечающим за деятельность в России, необходима полная информация о работниках российских подразделений.

Еще одна причина такой практики — желание сократить издержки на специалистов по кадрам, бухгалтерскому учету, информационным технологиям и иной административно-технический персонал, не связанный напрямую с основной деятельностью организации. Поэтому иногда в рамках группы выделяется специальная компания, которая отвечает за управление кадрами во всех локальных подразделениях группы в определенном регионе.

В соответствии с ТК РФ и Законом о персональных данных на описанную выше практику передачи иностранным юридическим лицам персональных данных работников российских подразделений распространяется сразу несколько требований законодательства о персональных данных. Так, передача данных российским филиалом (представительством) головной компании за рубежом должна осуществляться в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись (ст. 88) при приеме на работу (до подписания трудового договора (ст. 68 ТК РФ)). Если же данные передаются иностранной компании — самостоятельному юридическому лицу, для этого требуется письменное согласие работника (ст. 88 Кодекса).

В любом случае передача персональных данных работников за рубеж подпадает под определение трансграничной передачи персональных данных (передача персональных данных оператором, в данном случае работодателем, через государственную границу РФ юридическому лицу иностранного государства5).

Другая практика, характерная как для российских, так и для иностранных компаний, это использование внутренних баз данных. Как правило, все работодатели со штатом работников несколько десятков человек и выше используют компьютеризированные базы данных, куда вносятся основные сведения о работнике: фамилия, имя, отчество, должность, место нахождения работника (например, если у работодателя есть подразделения в различных регионах РФ), контактная информация (рабочий, мобильный, домашний телефоны, адрес электронной почты), иные сведения (дата рождения, фамилия, имя, отчество супруга и т. д.). Незаменимы внутренние базы в транснациональных корпорациях, поскольку они упрощают обмен информацией между сотрудниками.

Создаются также базы данных с расширенным набором сведений о работниках, но с ограниченным доступом. Например, сотрудники кадровой службы имеют доступ к информации о переводах работника, о примененных к нему мерах поощрения и дисциплинарных взысканиях, об использованных и неиспользованных отпусках и т. п. Аналогично сотрудники бухгалтерии имеют доступ к данным о выплаченной работнику заработной плате, премиях, удержаниях, отпусках и т. п.

Между тем согласно п. 2 ст. 19 Закона о персональных данных работодатели должны соблюдать требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (описанные выше базы данных подпадают под это определение).

Передача персональных данных работников при аутсорсинге

В последнее время работодатели все чаще поручают сторонним организациям выполнение определенных задач или бизнес-процессов, не являющихся частью их основной деятельности. Возможность привлекать специалистов из других компаний предусмотрена и некоторыми нормативными правовыми актами. Например, в соответствии с Федеральным законом от 21.11.96 № 129-ФЗ «О бухгалтерском учете» руководители организаций могут в зависимости от объема учетной работы передать на договорных началах ведение бухгалтерского учета централизованной бухгалтерии, специализированной организации или бухгалтеру-специалисту (подп. «в» п. 2 ст. 6). В этом случае неизбежна передача ей определенных персональных данных работников.

Вместе с тем, согласно ст. 88 ТК РФ, для передачи персональных данных работника третьей стороне, как правило, требуется письменное согласие работника. Кроме того, договор со сторонней организацией, предполагающий обработку персональных данных работников, должен содержать в качестве существенного условия обязанность обеспечения сторонней организацией конфиденциальности и безопасности персональных данных при их обработке6.

Рекомендации работодателям

Автор предлагает работодателям некоторые практические рекомендации по соблюдению требований законодательства относительно персональных данных работников.

Во-первых, необходимо разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки персональных данных работников (Положение о защите персональных данных работников или Положение о персональных данных работников). В Положении должны быть указаны порядок обработки персональных данных работников (т. е. правила сбора, систематизации, хранения, использования и осуществления иных действий с персональными данными), права и обязанности работников в области персональных данных, правила передачи персональных данных в пределах организации.

Обязанность работодателя ознакомить работников с таким локальным нормативным актом прямо предусмотрена п. 7 ст. 86 ТК РФ. Необходимо обратить внимание на то, что работники должны быть ознакомлены под роспись с локальными нормативными актами работодателя еще до подписания трудового договора.

Во-вторых, при приеме на работу рекомендуется получить письменное согласие работника на обработку его персональных данных. В соответствии с подп. 2 п. 2 ст. 6 Закона о персональных данных согласие субъекта этих данных (работника) не требуется в случае, когда их обработка осуществляется в целях исполнения договора (в данном случае трудового договора), одной из сторон которого является субъект персональных данных. Другими словами, подписывая трудовой договор, работник дает согласие на обработку персональных данных, необходимых работодателю для исполнения обязательств по трудовому договору.

Вместе с тем многие случаи обработки работодателями персональных данных работников не связаны напрямую с выполнением работодателем принятых на себя обязательств. Например, российское трудовое законодательство не предполагает передачу персональных данных работников в иностранную компанию или поручение ведения кадровой документации сторонней организации. Считается, что все действия, необходимые для выполнения работодателем своих обязательств перед работниками, должен выполнять непосредственно работодатель. Соответственно, для соблюдения требований законодательства о персональных данных при приеме работника на работу, а также впоследствии целесообразно получать его письменное согласие на обработку персональных данных. Можно разработать стандартную форму письменного согласия на обработку персональных данных. При подготовке такой формы необходимо учитывать требования, предусмотренные Законом о персональных данных в отношении сведений, которые обязательно должны быть включены в письменное согласие на обработку персональных данных7:

1) Ф. И. О., адрес работника, паспортные данные;

2) наименование и место нахождения работодателя;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие работника;

5) перечень действий с персональными данными, на совершение которых дается согласие (например, сбор, хранение, уточнение, трансграничная передача и т. д.), общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

Работодатель также может хранить у себя и предлагать работникам для подписания стандартные формы согласий на обработку персональных данных тех компаний, которым работодатель планирует передавать персональные данные работников, например компаниям, оказывающим работодателю услуги по бухгалтерскому или кадровому сопровождению, какой-либо иностранной компании и т. п. Подписывая такие согласия, работники будут предоставлять этим компаниям согласие на обработку своих персональных данных с указанием четко ограниченных целей обработки и перечнем необходимых той или иной компании персональных данных. Работодатель в данном случае будет выступать в качестве посредника между работниками и компаниями, оказывающими работодателю соответствующие услуги.

В-третьих, в договоры с третьими лицами, которым работодатель планирует передавать персональные данные своих работников, необходимо включить в качестве существенного условия обязанность получателя информации обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке (п. 4 ст. 6 Закона о персональных данных). Кроме того, в договоре должно содержаться указание на то, что передаваемые персональные данные работников могут быть использованы лишь в целях, для которых они сообщены, а также предусмотрено право работодателя требовать подтверждения того, что это правило соблюдено (ст. 88 ТК РФ).

Как правило, на практике договоры на оказание услуг со сторонними организациями заключаются по стандартной форме исполнителя, которая не всегда содержит соответствующие положения. Поэтому работодателю целесообразно разработать стандартную формулировку указанных выше положений и настаивать на их включении в договор в целях соблюдения требований законодательства о персональных данных.

Наконец, с 04.12.2007, когда вступило в силу Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, работодатель обязан выполнять целый ряд требований при использовании компьютеризированных баз данных (в Положении используется термин «информационная система») для обработки персональных данных работников. Так, согласно п. 11 Положения работодатели должны обеспечить:

проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;своевременное обнаружение фактов несанкционированного доступа к персональным данным;недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним и др.

Положение предусматривает и иные требования к операторам (в нашем случае — к работодателям) при обработке персональных данных с использованием информационных систем. Многие из этих требований подлежат дальнейшей конкретизации в нормативных актах Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, которые должны быть утверждены в трехмесячный срок с даты утверждения рассматриваемого Положения.

1 Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации». Ст. 17; Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (утв. Росархивом 06.10.2000). Раздел 7.
2 См., напр., Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28.01.81), ратифицированную Россией Федеральным законом от 19.12.2005 № 160-ФЗ. См. также Директиву 95/46 ЕС Европейского парламента и Совета ЕС от 24.10.95 «О защите прав частных лиц при использовании персональных данных и о свободной передаче этих данных».
3 См., напр., постановление Федерального арбитражного суда Московского округа от 08.11.2006 № КА-А40/10787-06. ФАС Московского округа постановил оставить в силе решения нижестоящих инстанций о законности привлечения работодателя к административной ответственности (штраф в размере 30 000 руб.) за неиздание локального нормативного акта, устанавливающего порядок обработки персональных данных работников, а также их права и обязанности в этой области.
4 План подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных», утвержден Распоряжением Правительства РФ от 15.08.2007 № 1055-р.
5 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (п. 11 ст. 3).
6 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (п. 4, ст. 6).
7 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (п. 4 ст. 9).



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Академия юриста компании

Академия

Смотрите полезные юридические видеолекции

Смотреть

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Рассылка

Опрос

Вы когда-нибудь меняли предмет или основание иска?

  • Да, все прошло хорошо 30.3%
  • Нет, никогда 30.3%
  • Да, но были сложности 39.39%
Другие опросы

© Актион кадры и право, Медиагруппа Актион, 2007–2016

Журнал «Юрист компании» –
первый практический журнал для юриста

Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль