Защита персональных данных. Как использовать требования закона

327
Что нужно доказать работодателю, чтобы увольнение за разглашение персональных данных выстояло в суде Вправе ли работодатель отказать профсоюзу в доступе к документам, содержащим персональные данные работников Когда диктофонную запись беседы работника с руководителем суд не признает надлежащим доказательством

Среди работодателей распространено мнение, что законодательство о персональных данных накладывает на них исключительно ограничения и необоснованные требования, соблюдение которых подчас невозможно. Однако оно содержит также правила, которые могут быть использованы работодателем в собственных интересах, в том числе в случае возникновения конфликтов с работниками и их представителями. Итак, рассмотрим ряд типичных ситуаций.

Как уволить за разглашение персональных данных

Взыскание в виде увольнения. Принято считать, что разглашение персональных данных другого работника (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ) является крайне ненадежным основанием для увольнения работника, поскольку его применение легко оспорить. Однако сложности связаны, как правило, с тем, что работодатель нарушает обязательные требования по формальному закреплению прав и обязанностей работников в сфере обработки таких сведений. Между тем за их несоблюдение работодатель может быть привлечен к административной ответственности. Ввиду усиления государственного контроля за защитой персональных данных актуальность этого основания для увольнения, очевидно, будет расти. Работодатели, привлеченные к ответственности за разглашение персональных данных работника по его жалобе, будут искать сотрудников, виновных в этом (так сказать, «в порядке регресса»).

Примечательно, что и ст. 90 ТК РФ, и ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о ПД) особо выделяют: сотрудники, виновные в разглашении персональных данных других работников, должны привлекаться к дисциплинарной ответственности. Напомним, в соответствии с ч. 3 ст. 192 ТК РФ увольнение по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ является дисциплинарным взысканием. Следовательно, должна строго соблюдаться процедура его наложения (включая запрос объяснений, издание приказа об увольнении и ознакомление с ним работника в установленные сроки под роспись и др.).

Что нужно доказать. Согласно п. 43 постановления Пленума ВС РФ от 17.03.2004 № 2 в случае оспаривания работником увольнения по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства того, что:

сведения, которые сотрудник разгласил, в соответствии с действующим законодательством относятся к персональным данным другого работника;они стали ему известны в связи с исполнением им трудовых обязанностей;он обязывался не разглашать их.

Разберемся с предметом доказывания по порядку.

Данные — персональные. Разглашенная работником информация должна относиться к персональным данным другого работника.

В соответствии с ч. 1 ст. 85 ТК РФ под таковыми понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Согласно определению, приведенному в Законе о ПД, к персональным относятся данные: паспортные, адрес, семейное и имущественное положение, образование, профессия, доходы и другая информация.

Рекомендации работодателю: во внутреннем положении о персональных данных, принятие которого обязательно для любого работодателя в силу закона, следует закрепить максимально подробный перечень категорий такой информации. Это позволит избежать или, по крайней мере, минимизировать риски возникновения споров относительно квалификации тех или иных сведений в качестве персональных данных работников.

При исполнении. Работодатель должен доказать, что персональные данные другого работника стали известны сотруднику в связи с исполнением им должностных обязанностей. В силу ст. 88 ТК РФ работодатель вправе разрешать доступ к персональным данным работников только специально уполномоченным сотрудникам. Но даже они могут получать лишь те сведения, которые необходимы им для выполнения должностных обязанностей.

Рекомендации работодателю: в положении о персональных данных необходимо указать должности сотрудников (в соответствии со штатным расписанием), которые имеют доступ к персональным данным, и категории сведений, с обработкой которых связано осуществление трудовых функций. Например, генеральный директор компании имеет доступ практически к любой информации в силу закона, сотрудники бухгалтерии — к сведениям о заработной плате и иных денежных льготах работников и т.д. Кроме того, в трудовых договорах и (или) должностных инструкциях таких сотрудников следует прописать, что их трудовая функция предполагает необходимость обработки персональных данных других работников.

Обязательство не разглашать. В соответствии со ст. 88 ТК РФ работодатель обязан предупредить сотрудников, получающих доступ к персональным данным других работников, о том, что эти сведения могут использоваться лишь в тех целях, для которых они были им сообщены. При этом работодатели также имеют право требовать от них подтверждения, что они соблюдают это правило.

Рекомендации работодателю: подтвердить тот факт, что работник, имеющий доступ к персональным данным других сотрудников, обязался их не разглашать, позволит ознакомление его под роспись с соответствующим положением. Подобное ознакомление также требуется в силу закона.

Кроме того, работодатель может попросить работника, имеющего доступ к персональным данным, подписать отдельное письменное обязательство об их неразглашении

Сложности при доказывании. Безусловно, сложнее всего доказать сам факт разглашения персональных данных. Однако сделать это будет проще, если:

в компании установлена надежная система защиты информационных систем персональных данных (фиксирующая любой несанкционированный доступ к ним);права доступа к таким сведениям четко разграничены (соответственно, круг подозреваемых в их разглашении сужается);права и обязанности сотрудников в сфере обработки персональных данных работников прописаны в локальном нормативном акте, в котором не просто воспроизведены положения закона, а закреплены обязанности работников, определенные с учетом организационной структуры и потребностей конкретного работодателя (безусловно, если такие обязанности не противоречат закону) и т. д.

Как отказать в доступе профсоюзам и контролирующим органам

Ссылка на недопустимость разглашения персональных данных работников может явиться законным основанием для отказа работодателя предоставить документы, содержащие такие сведения, профсоюзам, контролирующим органам и иным третьим лицам.

Отказ профсоюзам. Как представители работников профсоюзы вправе получать от работодателей информацию и документы, касающиеся социально-трудовых вопросов (ст. 17 Федерального закона от 12.01.1996 № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности»). При этом если профсоюз настроен враждебно и создан в первую очередь для защиты интересов его учредителей, то работодатель, скорее всего, не захочет предоставить ему большую часть из запрошенных им документов (например, штатное расписание, график отпусков, документы по командировкам работников и проч.). Это связано с тем, что в случае ознакомления профсоюза с указанными документами возрастает риск разглашения информации о заработной плате работников, их передвижениях (например, иностранных сотрудников, передвижение которых по территории РФ ограничено) и т. д.

Однако у работодателя есть возможность избежать этого.

Профсоюз в рассматриваемой ситуации является третьей стороной. Как следствие, работодатель может передать ему документы, содержащие персональные данные работников, лишь с учетом ограничений и правил, установленных ТК РФ и Законом о ПД. Так, работник должен дать свое письменное согласие на то, что его данные могут быть сообщены третьей стороне (ст. 88 ТК РФ). Процесс получения таких согласий может затянуться по времени, а запрос профсоюза, как следствие, потерять свою актуальность. Более того, работников, которые охотно предоставят согласие (а таких в ситуации с враждебным профсоюзом, вероятно, будет меньшинство), работодатель может заподозрить в принадлежности или просто лояльности к профсоюзу. Это обстоятельство, скорее всего, будет являться для них сдерживающим фактором. При этом спорной является сама возможность принудить работодателя получать такие письменные согласия работников, без которых передача персональных данных не допускается.

Кроме того, следует обратить внимание, что профсоюзы могут рассчитывать на получение лишь тех сведений, которые необходимы им для выполнения своих функций. Для того чтобы определить, соответствует ли запрошенная информация (документы) функциям профсоюза, работодатель вправе запросить его учредительные документы. Если из них станет очевидно, что профсоюз создан или осуществляет свою деятельность с нарушениями закона, то в таком случае он вовсе не вправе запрашивать какую-либо информацию.

Отказ госорганам. В ходе проверок деятельности компаний контролирующие органы (к примеру, ФАС, ФСФР и проч.) зачастую запрашивают документы, часть из которых содержит персональные данные работников. Предоставление таких документов не всегда отвечает интересам работодателей. Однако судебная практика свидетельствует, что им нередко удается обосновать свой отказ ссылкой на то, что такие документы содержат персональные данные работников и иных лиц и в силу этого не могут быть переданы без их согласия.

Позиция суда1. РО ФСФР России в ЦФО в связи с проведением проверки предписало ОАО «Медтелекоминформ» представить помимо прочих документов и анкеты всех акционеров, по лицевым счетам которых совершались операции по переходу прав собственности на ценные бумаги общества. Однако суд пришел к выводу, что запрошенная информация относится к персональным данным физического лица и не может быть предоставлена третьим лицам без его согласия (п. 7 ст. 2 Федерального закона «Об информации, информационных технологиях и защите информации», ст. 6 Закона о ПД).

Как защититься от работника

Нередко в случае возникновения конфликта с работодателем работники с целью зафиксировать свое общение с руководителями осуществляют скрытую запись телефонных и личных разговоров с ними с помощью диктофона, а иногда даже открыто используют видеокамеру. Однако такие действия работников являются в большинстве случаев незаконными с точки зрения законодательства о персональных данных.

В соответствии с ч. 1 ст. 11 Закона о ПД сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только с его письменного согласия. Так, голос руководителя, который работник записывает как раз с целью возможности его идентификации, относится к биометрическим персональным данным. Следовательно, обработка таких сведений без получения на это письменного согласия самого руководителя является незаконной.

Рекомендации работодателю: в ситуациях, когда имеются подозрения, что работник может осуществлять диктофонную запись, его руководитель или иной уполномоченный сотрудник, ведущий с ним беседу, вправе заявить, что своего письменного согласия на это он не давал.

В случае судебного разбирательства такие действия помогут представителям работодателя доказать, что собранные подобным образом доказательства (диктофонная запись и т. д.) являются ненадлежащими.

Таким образом, соблюдение требований законодательства о персональных данных выгодно в первую очередь для самого работодателя. Их нарушения могут спровоцировать жалобы работников (в том числе подогреваемые конкурентами), которые, в свою очередь, привести к проверкам прокуратуры, трудовой инспекции, Роскомнадзора (основного уполномоченного органа по защите прав субъектов персональных данных), ФСБ и ФСТЭК. Итогом таких проверок нередко становится наложение штрафов и выдача предписаний работодателю (вплоть до приостановления обработки персональных данных, что, по сути, означает блокировку работы компании). В результате пострадает коммерческая деятельность предприятия. Очевидно, последствия нарушения законодательства о персональных данных могут оказаться гораздо более неприятными, чем те меры, которые необходимо принять для его соблюдения.

WWW.TSPOR.RU
По запросу «персональные данные» подписчики смогут найти 9 материалов, в том числе экспертную оценку действий ОАО «Сбербанк России», опубликовавшего список 426 уволенных «по статье» сотрудников.
Когда согласие работника не требуется
Письменное согласие работника на обработку его персональных данных не требуется в случаях, когда это необходимо в целях:

— исполнения договора, одной из сторон которого является работник;

— предупреждения угрозы его жизни и здоровью;

— опубликования в силу требования закона данных лиц, замещающих должности государственной гражданской службы, кандидатов на выборные государственные или муниципальные должности и т.д.
Новые требования приведут к росту проверок
Информационные системы персональных данных (ИСПДН) до 01.01.2011 должны быть приведены в соответствие с требованиями Закона о ПД и подзаконных актов, принятых во исполнение этого закона (в частности, постановления Правительства РФ от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»). В первую очередь, речь идет о требованиях к безопасности, техническим характеристикам и обслуживанию ИСПДН.

На практике с 1 января ожидается увеличение числа проверок, проводимых Роскомнадзором, ФСБ и ФСТЭК, и, главное, ужесточение ответственности за несоблюдение требований законодательства (вплоть до приостановления обработки персональных данных). Напомним, лица, виновные в нарушении требований Закона о ПД, несут следующие виды ответственности:

— гражданскую;

— уголовную (ст. 137, 140, 155, 183, 272, 273, 274, 292, 293 УК РФ);

— административную (ст. 5.27, 5.39, 13.11–13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2 КоАП РФ);

— дисциплинарную (ст. 81, 90, 195, 237, 391 ТК РФ);

— иную ответственность, предусмотренную подзаконными актами по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях.

1 Постановление ФАС Московского округа от 05.08.2010 № КА-А40/8263-10 по делу № А40-147631/09-139-1001.

Скоро в журнале «Юрист компании»
    Узнать больше


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Академия юриста компании

      Академия

      Смотрите полезные юридические видеолекции

      Смотреть

      Cтать постоян­ным читателем журнала!

      Cтать постоян­ным читателем журнала

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией
      Рассылка

      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Юрист компании» –
      первый практический журнал для юриста

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».

      
      • Мы в соцсетях
      Внимание! Вы находитесь на сайте для юристов

      Вы точно юрист? Предлагаем сделку!
      Пройдите быструю регистрацию, а мы обеспечим вас увлекательным юридическим чтением.
      Регистрация займет минуту.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль