Защита персональных данных

175

Вопрос

152-ФЗ "О персональных данных" каждая организация обязана обеспечить защиту персональных данных сотрудников и клиентов и быть внесена в реестр операторов персональных данных. Плановые и внеплановые проверки проводит Роскомнадзор. Вопрос: Такое коммерческое предложение получила Управляющая организация от ООО "ЦБИС", действительно должна УК проходить такую платную процедуру и какие правовые последствия в случае отказа от регистрации и аттестации в реестре операторов персональных данных? Процедура подготовки по 152 ФЗ состоит из следующих этапов:1) Обследование и формирование требований2) Техническое проектирование системы защиты3) Закупка и внедрение средств защиты4) Разработка пакета организационно-распорядительной документации5) Оценка соответствия (аттестация)6) Подготовка по типовому плану проверки Роскомнадзора

Ответ

Нет, УК не должна проходить платную процедуру. Организация может самостоятельно организовать защиту персональных данных. Подробнее о том, как организовать обработку персональных данных сотрудников читайте ниже в рекомендации «Системы Кадры».

Если компания обрабатывает персональные данные только своих работников, то уведомление в Роскомнадзор можно не направлять (п. 1 ч. 2 ст. 22 Закона № 152-ФЗ). Если обрабатывает данные клиентов, то надо направить уведомление.Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Минкомсвязи России от 21.12.2011 № 346. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в ч. 3 ст. 22 Закона № 152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона от 27.07.2006 № 152-ФЗ).

Штраф за неуведомление Роскомнадзора составляет до 5000 рублей для компаний, и до 500 рублей для руководителя (ст. 19.7 КоАП РФ).

Обоснование данной позиции приведено ниже в материалах «Системы Кадры».

Рекомендация: Как организовать обработку персональных данных сотрудников

«Защита персональных данных

Как организовать защиту персональных данных сотрудников в организации

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников (ст. 8, 87 ТК РФ,п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации. Об этом говорится в пункте 8части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме.

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;
  • изменение;
  • блокирование;
  • копирование;
  • предоставление;
  • распространение;
  • иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. 4, 7Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденныхпостановлением Правительства РФ от 1 ноября 2012 г. № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).*

Положение о персональных данных

Вопрос из практики: является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность(ст. 5.27 КоАП РФ). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников.

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Вопрос из практики: как защитить персональные сведения, находящиеся в компьютерной базе данных

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8−16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.*

Вопрос из практики: можно ли не работающим в службе персонала сотрудникам предоставить право доступа к персональным данным других сотрудников

Да, можно, если доступ к таким сведениям необходим сотрудникам для выполнения определенных трудовых функций.

Доступ к персональным данным сотрудников могут иметь только специально уполномоченные лица, которым такой доступ необходим для выполнения конкретных функций. Об этом говорится в статье 88Трудового кодекса РФ.

Как правило, доступ к персональным данным сотрудников в силу специфики деятельности должны иметь:

  • сотрудники службы персонала;
  • сотрудники бухгалтерии;
  • генеральный директор и при необходимости его заместители;
  • руководители подразделений и непосредственные руководители.

При этом каждой из указанных категорий сотрудников устанавливается свой уровень доступа. Так, например, сотрудникам бухгалтерии может быть предоставлен доступ в части адресных данных сотрудников и их семейного положения, руководителям подразделений – в части персональных сведений исключительно по своим подчиненным.

Уровни доступа тех или иных лиц, а также конкретный порядок передачи персональных данных сотрудников внутри организации должен быть прописан в ее локальных документах, например в Положении о защите персональных данных сотрудников (абз. 5 ст. 88 ТК РФ). Уполномоченные лица должны быть ознакомлены с положениями документа и предупреждены о своих правах и обязанностях, а также об ответственности за использование сведений не по назначению (п. 8 ч. 1 ст. 86 ТК РФ).

Вопрос из практики: можно ли разместить персональные данные своих сотрудников на корпоративном сайте

Нет, нельзя.

Персональные данные сотрудника – это информация, необходимая организации и относящаяся к определенному физическому лицу (конкретному сотруднику). Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д. Об этом говорится в пункте 1 статьи 3 Закона от 27 июля 2006 г. № 152-ФЗ.

Размещение персональных данных на корпоративном сайте организации является распространением информации, которое возможно только с письменного согласия сотрудника (ст. 88 ТК РФ).

Совет: условия о размещении персональных данных сотрудников на корпоративном сайте пропишите в Положении о работе с персональными данными. При этом к нему составьте приложение, в котором укажите список сотрудников согласных (или несогласных) на размещение персональных данных. Таким образом, требованиестатьи 88 будет выполнено, и организация сможет разместить персональные данные сотрудников, согласных с таким размещением, на корпоративном сайте.

В целях обеспечения прав своих сотрудников организация и ее представители при обработке персональных данных обязаны соблюдать требования, регламентируемые статьей 86 Трудового кодекса РФ. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к административной и уголовной ответственности (ст. 90 ТК РФ). Или могут быть уволены с формулировкой «за разглашение персональных данных другого сотрудника на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса РФ».

Вопрос из практики: вправе ли руководитель структурного подразделения требовать от бухгалтерии предоставления ежемесячной информации о начисленной зарплате подчиненных ему сотрудников

Сведения о начисленных сотрудникам суммах относятся к персональным данным (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). Непосредственный руководитель может их запрашивать, если соответствующий допуск установлен в локальном нормативном акте и получено согласие сотрудника на обработку его персональных данных.

Вместе с тем, информацию об окладах и надбавках сотрудников содержит штатное расписание. Штатное расписание является локальным документом организации и к персональным данным не относится. Руководитель структурного подразделения при необходимости может обращаться к данному документу, если это предусмотрено должностной инструкцией руководителя или локальным актом организации. Это позволит ему получить необходимые сведения без обращения в бухгалтерию.

Отказ на обработку данных

Вопрос из практики: как поступить, если человек отказывается давать согласие на обработку его персональных данных

Организация вправе продолжать обрабатывать персональные данные человека без его согласия при наличии определенных оснований. При этом объем такой обработки достаточно велик и позволяет организации осуществлять текущую деятельность без нарушений.

В частности, работодатель может не требовать согласия на обработку персональных данных у соискателей для заключения трудового и гражданско-правового договора, направления персонифицированной отчетности в органы Пенсионного фонда РФ, налоговой отчетности в ФНС России, сведений о военнообязанных в военные комиссариаты, а также для хранения документов с персональными данными, в том числе трудовых и гражданско-правовых договоров, личных карточек, личных дел, и т. д. То есть когда работодатель исполняет возложенные на него законодательством обязанности.

Такие правила установлены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Для осуществления всех иных действий организации необходимо получать согласие человека на обработку его персональных данных (ч. 4 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Внимание: действующее законодательство не обязывает человека давать согласие на обработку персональных данных, поэтому отказ с его стороны нельзя считать нарушением и основанием для отказа в заключении договора. Штатный сотрудник также не может быть уволен или привлечен к иной дисциплинарной ответственности за отказ от предоставления согласия на обработку персональных данных.

Вопрос из практики: как поступить, если сотрудник отказывается предоставлять персональные данные членов семьи для заполнения кадровых документов

В соответствии со статьей 9 Закона от 27 июля 2006 г. № 152-ФЗ сотрудник предоставляет персональные данные о самом себе. Однако для заполнения личной карточки сотрудника работодателю нужны сведения о членах его семьи и ближайших родственниках. Если сотрудник отказывается предоставлять данные о родственниках, то работодатель не вправе требовать их предоставления (ч. 1 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ, п. 3 ст. 86 ТК РФ). В таком случае некоторые разделы личной карточки по форме № Т-2 останутся незаполненными по объективным причинам.

Чтобы избежать возможных претензий со стороны проверяющих органов и сотрудника, рекомендуется получить заявление сотрудника с его отказом от предоставления таких данных или зафиксировать такой отказ в акте. И акт и заявление можно составить в произвольной форме.

Обезличивание данных

Как обезличивать персональные данные в информационных системах

В исключительных случаях, предусмотренных законодательством, государственные и муниципальные органы должны обезличивать персональные данные, которые обрабатывают в своих информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (подп. «з» п. 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 г. № 211). В частности, к таким случаям относится необходимость органов государственной власти и местного самоуправления размещать в открытом доступе документы, содержащие персональные данные, например, обезличенные копии судебных актов (п. 3 ст. 15 Закона от 22 декабря 2008 г. № 262-ФЗ).

Под обезличиванием персональных данных понимают действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

В случае необходимости обезличивания персональных данных руководители организаций утверждают:

  • правила работы с обезличенными данными;
  • перечень должностей служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.

Такие правила предусмотрены в подпункте «б» пункта 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 г. № 211.

Конкретные требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах, установлены в Требованиях и методах, утвержденных приказом Роскомнадзора от 5 сентября 2013 г. № 996.

Основным требованием к обезличиванию персональных данных является обеспечение не только защиты от несанкционированного использования, но и возможности их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных. К таким свойствам, в частности, относятся:

  • полнота, то есть сохранение всей информации о конкретных людях или группах людей, которая имелась до обезличивания;
  • структурированность, то есть сохранение структурных связей между обезличенными данными конкретного человека или группы людей, которые имелись до обезличивания;
  • применимость, то есть возможность решения задач обработки персональных данных без предварительного обезличивания всего объема записей о людях;
  • анонимность, то есть невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации.

Такие правила установлены пунктами 3–4 Требований и методов, утвержденных приказом Роскомнадзора от 5 сентября 2013 г. № 996.

Основными требованиями к методам обезличивания персональных данных являются:

  • обеспечение требуемых свойств обезличенных данных;
  • соответствие предъявляемым требованиям к характеристикам методов;
  • реализация методов в различных программах;
  • решение поставленных задач обработки персональных данных.

К наиболее перспективным и удобным для практического применения относят следующие методы обезличивания:

  • метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблицы соответствия идентификаторов исходным данным;
  • метод изменения состава или семантики, то есть изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений;
  • метод декомпозиции, то есть разбиение массива персональных данных на несколько частей с последующим раздельным хранением;
  • метод перемешивания, то есть перестановка отдельных записей, а также групп записей в массиве персональных данных.

Об этом сказано в пунктах 10–15 Требований и методов, утвержденных приказом Роскомнадзора от 5 сентября 2013 г. № 996.

Коммерческие организации в целях безопасности работы с персональными данными работников также вправе, но не обязаны заниматься обезличиванием (п. 3 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).Если организация решит обезличивать персональные данные, то конкретный метод обезличивания нужно закрепить в локальном акте, например в Положении о работе с персональными данными сотрудников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ).

Проверки соблюдения требований к обработке персональных данных

Как проводятся проверки соблюдения требований к обработке персональных данных

Проверки работодателя по вопросам обработки им персональных данных проводит Роскомнадзор. Приказом Минкомсвязи России от 14 ноября 2011 г. № 312 утвержден Административный регламент исполнения данной службой функций по осуществлению государственного контроля (надзора).

Предметом контроля деятельности работодателя по обработке персональных данных являются:

  • документы, характер информации в которых предполагает или допускает включение в них персональных данных;
  • информационные системы персональных данных;
  • деятельность по их обработке.

Такие правила установлены пунктами 5–5.3 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312.

Роскомнадзор осуществляет как плановые, так и внеплановые проверки в форме документарных или выездных (ст. 9–12 Закона от 26 декабря 2008 г. № 294-ФЗ). Права и обязанности должностных лиц Роскомнадзора при проведении проверок определен, соответственно, пунктами 6 и 7Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312.

Сроки проверки деятельности работодателя по обработке персональных данных при проведении как плановой, так и внеплановой проверки не могут превышать 20 рабочих дней. При этом для субъектов малого предпринимательства общий срок выездных плановых проверок не может превышать в год:

  • 50 часов – для малого предприятия;
  • 15 часов – для микропредприятия.

В исключительных случаях срок проведения выездной плановой проверки может быть продлен, но не более чем на 20 рабочих дней, а для малых и микропредприятий – не более чем на 15 часов. Это возможно, если в ходе осуществления проверки возникнет необходимость в проведении:

  • сложных и длительных исследований, испытаний;
  • специальных экспертиз и расследований.

Такие правила установлены статьей 13 Закона от 26 декабря 2008 г. № 294-ФЗ.

Руководитель или иное уполномоченное лицо проверяемой организации (индивидуального предпринимателя) обязаны предоставить должностным лицам Роскомнадзора возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, если таковой не предшествовала документарная. Кроме этого, необходимо обеспечить доступ проверяющих должностных лиц на территорию организации, в используемые при осуществлении обработки персональных данных здания, строения, сооружения, помещения, а также обеспечить их доступ к используемому оборудованию. Такой порядок установлен пунктами 6, 70.5 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312.

По результатам проверки соблюдения законодательства об обработке персональных данных составляется акт, форма которого утверждена приказом Минэкономразвития России от 30 апреля 2009 г. № 141. При выявлении нарушений дополнительно составляется предписание об их устранении. Такие правила установлены пунктами 76, 77, 85 Административного регламента, утвержденногоприказом Минкомсвязи России от 14 ноября 2011 г. № 312.

Если организация не согласна с выводами должностных лиц Роскомнадзора, а также с их действиями в ходе проверки, то она может обжаловать данные выводы или действия (п. 4 ст. 21 Закона от 26 декабря 2008 г. № 294-ФЗ).

Ответственность за нарушения в работе с персданными

Какая ответственность грозит организации и ее должностным лицам за нарушения в работе с персональными данными

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Закона от 27 июля 2006 г. № 152-ФЗ).

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (ст. 192 ТК РФ). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ).*

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

  • для должностных лиц (например, руководителя организации) от 500 до 1000 руб.;
  • для организации от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Такие меры ответственности предусмотрены статьями 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность для руководителя организации (иного лица, ответственного за работу с персональными данными) может наступить за незаконное:

  • собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

За указанные нарушения предусмотрены следующие меры ответственности:

  • штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • арест на срок до четырех месяцев;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

  • штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
  • арестом на срок от четырех до шести месяцев;
  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Об этом говорится в статье 137 Уголовного кодекса РФ.

Если в результате нарушений, допущенных работодателем при работе с персональными данными, ущемляются права сотрудника, то он вправе также потребовать с организации компенсацию морального вреда. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и иных понесенных сотрудником убытков. Об этом говорится в части 2 статьи 24 Закона от 27 июля 2006 г. № 152-ФЗ. Порядок возмещения морального вреда регулируется гражданским законодательством (ст. 1099 ГК РФ).

Вопрос из практики: можно ли в трудовых договорах сотрудников предусмотреть условие о неразглашении конфиденциальной информации

Да, можно.

Но только в отношении тех сотрудников, которые непосредственно работают с персональными данными: кадровиков, менеджеров по персоналу, секретарей (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте сотрудника с Положением о работе с персональными данными.

Вопрос из практики: можно ли в локальный акт организации включить условие об обязательном применении полиграфа в процессе трудовой деятельности сотрудников

Нет, нельзя.

Использование полиграфа в процессе трудовой деятельности (при трудоустройстве, установлении виновного в причинении ущерба работодателю и т. п.) Трудовым кодексом РФ не предусмотрено. Кроме того, медицинские, научные и иные опыты (в т. ч. полиграфическое тестирование) на людях без их добровольного согласия в Российской Федерации запрещены (ч. 2 ст. 21 Конституции РФ).

Таким образом, условие о возможности применения полиграфа может быть включено в локальные акты организации, при этом обязать сотрудника проходить проверку на полиграфе без его согласия работодатель не вправе.

Вопрос из практики: можно ли в рабочих кабинетах установить системы видеонаблюдения

Да, можно, но по общему правилу с согласия сотрудников.

Видеонаблюдение в кабинетах – один из случаев обработки персональных данных сотрудников. В связи с чем в общем случае требуется согласие сотрудников на такую обработку (ст. 86 ТК РФ, ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ). Исключение могут составлять ситуации, когда наличие видеоконтроля предусмотрено, например, нормами законодательства или связано с непосредственным выполнением трудовой функции сотрудников. Подробнее о случаях, когда согласие сотрудников на обработку персональных данных не требуется, см. в перечне исключений.

После получения согласия сотрудников и установления систем видеонаблюдения работодатель обязан обеспечить защиту полученной с помощью видеокамер информации и не допускать ее несанкционированного разглашения (ст. 19 Закона от 27 июля 2006 г. № 152-ФЗ).

Следует помнить, что негласное наблюдение за сотрудниками может быть расценено как нарушение гарантированной статьями 23, 24 Конституции РФ неприкосновенности частной жизни (см., например,определение Верховного суда РФ от 14 сентября 2006 г. № КАС06-326). Ведение скрытого, без информирования сотрудников, видеонаблюдения может повлечь для работодателя административную и уголовную ответственность (ст. 13.11 КоАП РФ, ст. 138.1 УК РФ).

При введении видеонаблюдения после заключения трудового договора Роскомнадзор в своихразъяснениях от 2 сентября 2013 г. рекомендует уведомлять сотрудников о нововведении за два месяца и оформить дополнительные соглашения к трудовому договору в порядке изменений организационного или технологического характера (ст. 74 ТК РФ).

В то же время суды при рассмотрении данного вопроса занимают противоположную позицию (см., например, апелляционное определение Алтайского краевого суда от 15 октября 2013 г. № 33-8403/2013), что предупреждать сотрудников о введении видеонаблюдения за два месяца не требуется. По мнению суда, наличие или отсутствие видеонаблюдения на рабочих местах не относится к существенным условиям трудового договора и введение видеонаблюдения никак не влияет и не изменяет трудовую функцию сотрудника и не сказывается на его рабочем процессе (ст. 57 ТК РФ). Достаточно внести изменения в Правила трудового распорядка или в иной локальный документ, регулирующий обустройство офисных помещений, и ознакомить с ним сотрудников.

С учетом указанного, чтобы минимизировать риски судебных разбирательств, работодателям следует придерживаться более безопасной первой позиции, то есть предупреждать сотрудников за два месяца до введения системы видеонаблюдения.

Вопрос из практики: может ли работодатель снимать отпечатки пальцев сотрудников для организации пропускного режима

Нет, такого права у работодателя нет.

Обязательную дактилоскопическую регистрацию граждан имеют право проводить только органы, поименованные в Законе от 25 июля 1998 г. № 128-ФЗ. Так, например, право на использование дактилоскопической информации имеют суды, органы прокуратуры, предварительного следствия, дознания, органы, осуществляющие оперативно-разыскную деятельность, органы уголовно-исполнительной системы и т. п. Об этом говорится в статье 14 Закона от 25 июля 1998 г. № 128-ФЗ. Аналогичную позицию занимают специалисты Роструда в частных разъяснениях.

Таким образом, работодатель не имеет права снимать отпечатки пальцев сотрудников для организации пропускного режима.

Вопрос из практики: вправе ли работодатель читать переписку своих сотрудников

Да, вправе, если речь идет о переписке с рабочей электронной почты или других средств связи.

Работодатель может проверять, какую именно информацию сотрудник отправляет с электронной рабочей почты и связана ли такая корреспонденция с работой (ст. 57, 91 ТК РФ). В том числе работодатель вправе применять при необходимости средства, не противоречащие российскому законодательству, и методы технической защиты конфиденциальности информации, которая относится к коммерческой тайне (ст. 10 Закона от 29 июля 2004 г. № 98-ФЗ). Следует учесть, что вся переписка, осуществляемая в рабочее время при помощи технических средств, принадлежащих организации, и по оплаченным ею каналам связи или передачи данных, является служебной. Поскольку тайна переписки распространяется на лиц, участвующих в ее процессе только в том случае, если она ведется в свободное от работы время, на личном оборудовании при оплате этих средств и услуг оператора связи самостоятельно (ст. 22 Конституции РФ).

Так, например, за чтение личной электронной почты работников или сообщений ICQ (при условии, что такой вид связи не является общекорпоративным средством и для этого не формируются отдельные аккаунты) должностных лиц организации могут привлечь к уголовной ответственности вплоть до лишения свободы на срок до четырех лет, поскольку характер такой переписки личный (ст. 138 УК РФ).

Следует учесть, что доказательства, которые были получены при прочтении электронной переписки сотрудников с рабочей почты, будут иметь юридическую силу в суде только в том случае, если они были получены законным путем (ч. 2 ст. 55 ГПК РФ). Поэтому важно учитывать нормы закона при получении подобных доказательств. В частности, незаконным может быть признан мониторинг использования работником рабочей электронной почты, если работодателем прямо не был введен запрет на ее использование в личных целях, и работники заранее письменно не были предупреждены о контроле со стороны работодателя за соблюдением порядка использования почты. Правомерность такой позиции подтверждает и судебная практика, например, постановление Европейского суда по правам человека от 3 апреля 2007 г. по делу «Копланд (Copland) против Соединенного Королевства» жалоба № 62617/00.

Таким образом, если работодатель планирует контролировать работников через почту и другие виды корпоративной связи, необходимо прописать данное условие в локальном акте и знакомить с ним сотрудников при приеме на работу.

Вопрос из практики: может ли организация передать персональные данные бывшего сотрудника его новому работодателю

Организация вправе предоставить персональные данные бывшего сотрудника по запросу нового работодателя только при наличии письменного согласия сотрудника.

При этом новый работодатель может запрашивать такую информацию только в том случае, если ее невозможно получить у самого сотрудника.

Такой вывод следует из положений пункта 3 статьи 86 Трудового кодекса РФ. Аналогичную позицию занимает Роскомнадзор в разъяснениях от 14 декабря 2012 г.

Вопрос из практики: можно ли сообщать сведения о работе сотрудника в организации по телефону представителям других компаний, например банков

Да, можно, но только с письменного согласия самого сотрудника.

Под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному физическому лицу (субъекту персональных данных) (ч. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). При этом перечень персональных данных не является исчерпывающим, то есть любая информация, относящаяся к определенному лицу, является его персональными данными. Таким образом, место работы и сам факт работы, запрашиваемые у организации, например, кредитной организацией для подтверждения факта работы или потенциальным работодателем о бывшем сотруднике, являются персональными данными. Поэтому передавать данные о сотруднике другим организациям можно только с соблюдением общих требований об обработке персональных данных, то есть только с согласия самого сотрудника (п. 3 ч. 1 ст. 86 ТК РФ, ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Таким образом, предоставлять сведения о факте работы сотрудников по телефону неустановленным лицам, в том числе представляющимися специалистами банка, можно, но только с письменного согласия самого сотрудника, независимо от того, продолжает он работать в организации или уже уволился.

Вопрос из практики: обязан ли работодатель по запросу службы судебных приставов сообщать о факте работы в организации сотрудника-должника

Факт работы в организации относится к персональным данным сотрудника. Судебный пристав-исполнитель, ведущий исполнительное производство, вправе запрашивать у организации сведения о сотрудниках, в отношении которых состоялись судебные решения об уплате алиментов или иных видов присужденных платежей, в том числе и сведения, относящиеся к персональным данным. Данный запрос работодатель игнорировать не вправе. Такие правила установлены статьей 64 Закона от 2 октября 2007 г. № 229-ФЗ.

При этом работодатель вправе сообщать о факте работы в организации сотрудника-должника без его согласия о передаче персональных данных третьим лицам, так как в данном случае обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, подлежащего исполнению в соответствии с законодательством России об исполнительном производстве (п. 3 ч. 1 ст. 6, п. 6. ч. 2 ст. 10, ч. 2 ст. 11 Закона от 27 июля 2006 г. № 152-ФЗ).

Таким образом, работодатель обязан отреагировать на запрос службы судебных приставов о факте работы сотрудника-должника. Получать согласие сотрудника на передачу таких данных не нужно».

05.05.2016

Недвижимость: что изменилось после 1 января 2017 года

Не пропустите 14 апреля большую онлайн-конференцию для юристов. Неподражаемый Роман Бевзенко обсудит с практикующими юристами и представителями Росреестра и МФЦ «Мои документы» проблемы нового закона о регистрации недвижимости.

Это бесплатно



Академия юриста компании

Академия

Смотрите полезные юридические видеолекции

Смотреть

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Рассылка

© Актион кадры и право, Медиагруппа Актион, 2007–2016

Журнал «Юрист компании» –
первый практический журнал для юриста

Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Только для зарегистрированных пользователей

Всего минута на регистрацию и документы у вас в руках!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

Подпишитесь на рассылку. Это бесплатно.

В рассылках мы вовремя предупредим об акции, расскажем о новостях в работе юриста и изменениях в законодательстве.