Получение работодателем персональных данных работника у третьей стороны возможно

Содержание

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Комментарий к Ст. 86 ТК РФ

Право работодателя и его представителей на обработку персональных данных работника ограничивается установленными в ч. 1 ст. 24 Конституции РФ гарантиями защиты прав и свобод граждан, а также требованиями, содержащимися в ТК РФ. ФЗ «О персональных данных», ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149-ФЗ (СЗ РФ. 2006. N 31 (ч. I).

Ст. 3448) и в иных федеральных законах.

1. Статья 86 ТК РФ направлена на то, чтобы персональные данные использовались прежде всего в интересах работника: для определения его правового положения по отношению к работодателю, объема и содержания прав и обязанностей работника, вытекающих из трудового договора, и соответственно встречных прав и обязанностей работодателя.

2. Персональные данные работника призваны дать обоснование правомерности заключения и реализации трудового договора, его прекращения, представление об условиях его труда, полагающихся ему гарантиях, компенсациях и льготах.

3. Среди документов и материалов, содержащих информацию, необходимую работодателю в связи с трудовыми отношениями, основное место занимают:

2) документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;

3) документы о состоянии здоровья работника, если в соответствии с законодательством он должен пройти предварительный и периодические медицинские осмотры;

4) документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и др.);

5) документ о беременности работницы и возрасте детей для предоставления матери установленных законом условий труда, гарантий и компенсаций.

Среди персональных данных работника должны быть трудовой договор, приказ (распоряжение) о приеме на работу, приказы (распоряжения) об изменении условий трудового договора, его прекращении, а также приказы (распоряжения) о поощрениях и дисциплинарных взысканиях, примененных к работнику. В период действия трудового договора среди персональных данных работника должна находиться его трудовая книжка.

4. Сведения о личности человека, его личной жизни, нередко связанные с его достоинством, авторитетом в коллективе, в обществе, могут послужить основанием прекращения трудовых соглашений (см. п. 8 ст. 81 ТК РФ). Работодатель, его представитель, располагая подобными сведениями, должны иметь в виду, что достоинство личности охраняется государством.

Ничто не может быть основанием для его умаления (ч. 1 ст. 21 Конституции РФ).

Конституционные права граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах, защищаются Федеральным законом от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации» (СЗ РФ. 1995. N 8. Ст. 609).

Пункт 1 ст. 11 Федерального закона от 20 февраля 1995 г. запрещает сбор, хранение, использование и распространение информации, нарушающей личную тайну, связанную с личностью гражданина и его жизнью.

Частью 1 ст. 24 Конституции РФ предусмотрено, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

6. Некоторые данные о работнике носят конфиденциальный характер. На работодателе лежит обязанность сохранять эту конфиденциальность.

Нарушение режима защиты, обработки и порядка использования информации о гражданах юридическими и физическими лицами, владеющими в соответствии со своими полномочиями такой информацией, влечет ответственность в соответствии с законодательством РФ (см. п. 3 ст. 11 Федерального закона от 20 февраля 1995 г.; ст. 90 ТК РФ).

7. Работники вправе знакомиться со всеми своими персональными данными, имеющимися у работодателя, который обязан обеспечить им эту возможность.

Источник получения персональных данных

Источником получения персональных данных о работнике может являться не только он сам. Однако, для исключения возможных неточностей все персональные данные работника следует получать у него самого.

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.

Работа с персональными данными

Согласие на обработку персональных данных оформляется исключительно в письменной форме.

Однако из данного правила имеются исключения. В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора. Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется. Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях.

Были даны разъяснения, в каких случаях при передаче персональных данных работника третьим лицам согласия работника не требуется:

в Фонд социального страхования РФ, Пенсионный фонд РФ;
в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
наличия у работодателя доверенности на представление интересов работника;
когда соответствующая форма и система оплаты труда прописана в коллективном договоре

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.

Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Основные правила обработки персональных данных

обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей (например, если обработка проводится для трудоустройства работника, подачи сведений в ПФР и другие госорганы или обеспечения сохранности имущества);
обработке подлежат только те персональные данные, которые отвечают целям обработки;

Нужно ли получать согласие работника на обработку персональных данных?
Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

цели получения персональных данных работника у третьих лиц;
предполагаемые источники информации (лица, у которых будете запрашивать данные);
способы получения данных, их характер;
возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

Желательно вручить такое уведомление работнику под подпись, чтобы у вас было доказательство, что сотрудник действительно был уведомлен.

Следует убедиться, что работник подписал документ. Тогда при необходимости вы без труда сможете доказать, что работник действительно давал вам согласие на получение своих персональных данных у третьей стороны.

Положения ст. 86 ТК

обработка упомянутых сведений может производиться лишь для обеспечения соблюдения законов, помощи служащим в трудоустройстве, образовании и карьерном росте, их безопасности, мониторинга выполняемой работы и обеспечения сохранности имущества;
при идентификации объёма и содержания обрабатываемых данных наниматель обязан ориентироваться на Конституцию, ТК и прочие общефедеральные законы;
все личные данные служащего нужно получать у него. Если их можно получить лишь у третьей стороны, то сотрудника нужно предупредить об этом заранее и получить от него письменное согласие на доступ к информации. Наниматель при этом сообщает подчинённому о целях, источниках и методах получения данных, а также об их характере и последствиях, если служащий откажется дать упомянутое согласие;
наниматель не вправе получать и обрабатывать сведения о сотруднике, относящиеся по законодательству РФ в области персональных данных к специальным категориям этих данных, за исключением ситуаций, прописанных в ТК и других общефедеральных законах;
наниматель не вправе получать и обрабатывать личные данные подчинённого о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением ситуаций, прописанных в ТК или других общефедеральных законах;
при принятии решений, затрагивающих интересы служащего, наниматель не вправе основываться на данных сотрудника, полученных только путём их автоматизированной обработки или электронного получения;
защита данных от некорректного их использования или утраты реализуется нанимателем за счёт его ресурсов в порядке, закреплённом в ТК и прочих общефедеральных законах;
трудящиеся и их представители должны быть ознакомлены под роспись с профильными документами нанимателя, закрепляющими алгоритм обработки личных данных служащих, а также об их правах и обязанностях относительно данной сферы;
служащим не нужно отказываться от своих прав на сохранение и защиту тайны;

наниматели, сотрудники и их представители обязаны вместе разрабатывать меры защиты персональных данных служащих.

Рассмотренная статья досконально разбирает принципы, которыми обязан руководствоваться наниматель при обращении с личными данными подчинённых. Учитывая, что упомянутые данные зачастую содержат чувствительную информацию, существование отдельной статьи, регулирующей эти вопросы, представляется вполне разумным.

Вопросы по ст. 86 ТК

Что подразумевается в этой статье под обработкой данных?

Имеется в виду весь комплекс работы с информацией:

её сбор из разных источников, в первую очередь из документов, заполненных самим сотрудником;
сама обработка – систематизация, проверка достоверности, первичный анализ и пр.;
хранение – как в электронном, так и бумажном формате;
передача – как в отношениях с внешними структурами, так и внутри организации;
удаление – ликвидация информации согласно утверждённым процедурам, например, по истечение срока давности.

Полное определение обработки дано в п. 3 ст. 3 профильного ФЗ №152 от 27.07.06, посвящённого обращению с личными данными.

Какие источники используются для получения сведений, обращение с которыми регулирует рассмотренная статья?

Таких источников довольно много. Они образуются из трёх групп:

документов, самолично заполненных и/или представленных служащим;
созданной работодателем кадровой документации, которая затрагивает сотрудника;
документов, имеющихся у сотрудника.

Примеры из этих групп:

анкета, заполняемая кандидатом при его трудоустройстве;
приказы руководства, относящиеся к конкретному сотруднику;
копии паспорта, военного билета и тому подобной документации;
объяснительные, написанные сотрудником по результатам анализа каких-то нестандартных ситуаций с его участием и пр.

В современном бизнесе собранная из этих источников и агрегированная информация является сама по себе довольно ценным активом. В индивидуальном случае она может дать доступ менеджерам и коллегам к личной информации служащего (номеру его телефона, адресу и т.д.). Если же в системе защиты информации организации существует брешь, то личные данные сотрудника, объединённые с информацией о его коллегах, может быть выставлена на продажу третьим лицам в неформальном порядке.

Отдельно следует заметить, что с развитием интернета, государственных онлайн-ресурсов, соцсетей часть личных сведений неизбежно оказывается в открытом доступе помимо желания нанимателя. Так, многие пользователи соцсетей выкладывают сведения о себе в открытый доступ.

Какая ответственность полагается для нанимателя при обнаружении нарушений, допущенных им при обращении с персональными данными подчинённых?

Актуальное законодательство предполагает в подобной ситуации две формы наказаний.

Административные наказания назначаются на базе: ч. 1, 2 ст. 5.27 и ст. 13.11 КоАП. Обычно они предусматривают штрафы, но при рецидиве допускается и дисквалификация. Величина штрафов варьируется в зависимости от категории нарушителя и степени рецидива.

Уголовная ответственность наступает на базе ст. 137 УК. Она включает такие формы, как штрафы, арест, запрет на занятие определённых позиций.

РАБОТНИК КАК СУБЪЕКТ ПЕРСОНАЛЬНЫХ ДАННЫХ

Многие организации основные усилия по реализации требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) сосредотачивают на защите персональных данных клиентов — оно и понятно: согласно статистике Роскомнадзора именно они, а вернее их жалобы, являются основной причиной проведения внеплановых проверок организаций. Но при этом нельзя забывать и о работниках кредитного кооператива, поскольку они, во-первых, являясь субъектами персональных данных, имеют точно такие же права, как заемщики или пайщики, а во-вторых, имеют доступ к персональным данным клиентов, что в отсутствие надлежащих процедур по защите таких данных может привести к негативным последствиям вроде передачи баз данных клиентов конкурентам.

Рассмотрение отношений работодателя и работника в двух вышеуказанных аспектах является целью нашей статьи.

Примеры документов, содержащих персональные данные работников:

Анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу. В этих документах содержатся анкетные и биографические данные работника;
Копия документа, удостоверяющего личность работника. Здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа;
Личная карточка № Т-2. В ней указываются фамилия, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и пр.

Правовое положение работника как субъекта персональных данных определяется в большей части в двух нормативно-правовых актах: 152-ФЗ и гл. 14 Трудового кодекса Российской Федерации (далее — ТК РФ). Из данных документов можно выделить следующие обязанности кредитного кооператива в области соблюдения законодательства о персональных данных:

Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие, предпочтительнее в виде отдельного документа;
Организация не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, а также персональные данные, касающиеся состояния здоровья, за исключением сведений о возможности выполнения работником трудовой функции (исходя из практики, сведения (персональные данные), содержащиеся в т.н. «больничных листах», справках о беременности, Инвалидности не относятся к сведениям о состоянии здоровья и могут обрабатываться кредитным кооперативом);
Ознакомить работников под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. В действующем законодательстве отсутствует четкий перечень документов, с которыми должен быть ознакомлен работник. Исходя из правоприменительной практики, таким документами должны быть Положение об обработке персональных данных, Политика обработки персональных данных и иные локальные акты, в которых определяется порядок обработки персональных данных и которые издаются кооперативом самостоятельно. Причем, что неоднократно подтверждалось судебной практикой, ознакомить работника с вышеуказанными документами необходимо до заключения трудового договора. В целях защиты интересов кредитного кооператива также целесообразно заключить с работниками соглашение о конфиденциальности;
Разрешать только специально уполномоченным лицам доступ к персональным данным работников, необходимым для выполнения конкретных функций (данная обязанность может быть исполнена путем издания двух приказов: о назначении ответственного за обработку персональных данных в кооперативе и разграничении доступа работников к персональным данным в кооперативе);
Требовать от лиц, получающих персональные данные работников, соблюдение вышеуказанных требований. Исходя из разъяснений Управления Роскомнадзора по республике Саха (Якутия) в отношении третьих лиц, которым передаются персональные данные работника, требования ст. 88 ТК РФ возможно реализовать в виде обмена между работодателем и третьей стороной документами, в которых содержатся указанные в статье требования. Например, при передаче персональных данных работника работодатель в сопроводительном документе указывает, что персональные данные могут быть использованы только в целях, для которых они сообщаются, и просит в ответ направить подтверждение исполнения указанного требования. В свою очередь, получатель персональных данных направляет работодателю ответ, в котором указывается, что полученные персональные данные будут им использоваться исключительно в указанных целях. В целом с такой позицией следует согласиться. На наш взгляд, еще одним способом соблюдения требований ст. 88 ТК РФ в случаях передачи персональных данных в рамках гражданско-правового договора с третьим лицом может быть включение в договор условия о неразглашении передаваемых персональных данных и ограничений при их обработке;
Обеспечить защиту персональных данных работника от неправомерного использования или утраты за счет собственных средств (данное требование исполняется путем реализации организационных, юридических и технических мер, полный перечень которых из-за ограничений в объеме не представляется возможным привести в настоящей статье).

Помимо вышеуказанных требований действующего законодательства, особое внимание стоит обратить на такой документ, как согласие на обработку персональных данных работника. Формально данный документ не является обязательным, т.к., исходя из ч.5 п.1 ст.6 152-ФЗ (позволяющей в случаях, когда обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных обрабатывать персональные данные без согласия субъекта), кредитный кооператив может обрабатывать персональные данные соискателя и работника без их согласия. Однако на практике согласие на обработку персональных данных желательно по двум причинам: во-первых, это исключит споры с работником о перечне правомерно обрабатываемых персональных данных и позволит осуществлять их передачу третьим лицам (например, кредитной организации для выплаты заработной платы на банковскую карту, страховой организации для оформления полиса дополнительного медицинского страхования и т.д.), а во-вторых, согласие на обработку персональных данных является одним из первых документов, требуемых Роскомнадзором при проверке. Получение согласия работников представляется предпочтительнее споров с Роскомнадзором о наличии правового основания для обработки персональных данных.

При оформлении согласия работников на обработку их персональных данных следует обратить внимание, как минимум, на два момента.

Во-первых, согласно ст. 86 ТК РФ такая обработка может осуществляться лишь в целях:

обеспечения соблюдения законов и иных нормативных правовых актов;
содействия работникам в трудоустройстве, обучении и продвижении по службе;
обеспечения личной безопасности работников;
контроля количества и качества выполняемой работы;
обеспечения сохранности имущества.

Во-вторых, стоит обратить внимание на персональные данных работников, содержащиеся в стандартных формах. Очевидно, они не могут быть изменены организацией самостоятельно, в том числе в них нельзя внести и поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, как того требует п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687 (далее — Постановление).

На практике большинство организаций не обращает внимания на данный пункт, исходя как раз из невозможности изменения стандартных форм, однако такой подход несет в себе определенный правовой риск и не учитывает позицию некоторых территориальных управлений Роскомнадзора. Согласно такой позиции при использовании унифицированных форм, утвержденных соответствующими уполномоченными органами, в организации целесообразно оформление дополнительного документа, подписанного субъектом персональных данных, содержащего все указанные в п. 7 Постановления пункты и поля. Документ может содержать перечень типовых форм документов организации, характер информации в которых предполагает или допускает включение в них персональных данных субъекта персональных данных.

Примеры случаев, когда передача персональных данных работников возможна без согласия работников:

При несчастном случае с работником работодатель обязан проинформировать соответствующие органы и организации, а при тяжелом несчастном случае (или смерти) — также его родственников. В данной ситуации согласия работника на передачу его персональных данных не требуется (ст. 228 ТК РФ).
Работодатель также обязан предоставить персональные данные работников государственным инспекторам труда при осуществлении ими надзорно-контрольной деятельности (ст. 357 ТК РФ).
Ряд случаев согласно ст. 9 Федерального закона от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».

Таким образом, проанализировав требования действующего законодательства, можно сделать вывод о значительном количестве норм, направленных на регламентацию порядка обработки персональных данных работника и на защиту его прав, несоблюдение которых может повлечь за собой привлечение к административной и материальной ответственности кредитного кооператива как работодателя.

РАБОТНИК КАК ЛИЦО, ИМЕЮЩЕЕ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ ТРЕТЬИХ ЛИЦ (ЗАЕМЩИКОВ, ДРУГИХ РАБОТНИКОВ И ПРОЧЕЕ)

Проблемы, связанные с работниками, в чью трудовую функцию входит в том числе обработка персональных данных, крайне многочисленны и вследствие отсутствия единой судебной и правоприменительной практики иногда трудно разрешимы. В рамках данной статьи будет рассмотрен лишь вопрос об условиях трудового договора работника, имеющего доступ к базе данных, обеспечивающих ее защиту от неправомерной передачи, например, конкурентам, и условиях, которые впоследствии могли бы стать основанием для привлечения работника к ответственности.

Исходя из смысла ст. 90 ТК РФ работник, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности. Возможным видом дисциплинарной ответственности, кроме замечания и выговора, является также увольнение (расторжение трудового договора по инициативе работодателя) по пп. «в» п. 6 ст. 81 ТК РФ за разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника. При этом необходимо соблюдать порядок наложения дисциплинарных взысканий, предусмотренный ТК РФ.

Согласно ст. 243 ТК РФ, разглашение сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную) является основанием для привлечения к полной материальной ответственности работника (состоит в его обязанности возмещать причиненный работодателю прямой действительный ущерб в полном размере).

Для привлечения работника по данному основанию к полной материальной ответственности необходимо наличие следующих условий:

принадлежность разглашенной информации к сведениям, составляющим государственную, служебную, коммерческую или иную охраняемую законом тайну (согласно ст.7 152-ФЗ персональные данные относятся к охраняемой законом тайне);
доступ работника к сведениям, составляющим охраняемую законом тайну. Такой доступ подразумевает оформление письменного документа (как правило, приказа, с которым ознакомлен работник, и соглашения о конфиденциальности в качестве дополнительного соглашения к трудовому договору), в котором указано, какие сведения работник обязуется не разглашать в связи с выполнением своих трудовых обязанностей;
распространение работником сведений, составляющих охраняемую законом тайну. При привлечении работника к полной материальной ответственности работодатель должен иметь доказательства сообщения работником сведений сторонним лицам (на практике данное обстоятельно доказать достаточно сложно, как правило, в качестве доказательств используются программные средства фиксации действии работника);
прямой действительный ущерб, причиненный работодателю разглашением работником сведений, которые составляют охраняемую законом тайну (на практике с доказыванием размера ущерба также возникают значительные проблемы ввиду отсутствия общепризнанных методик оценки стоимости информации и тем более баз данных).

Включение вышеуказанных условий в трудовой договор и локальные акты кредитного кооператива позволят минимизировать риск утечки персональных данных, в том числе баз данных, третьим лицам. Однако стоит учитывать, что сама по себе возможность ответственности не всегда останавливает людей от противоправных действий по передаче персональных данных. Для ее предотвращения требуется целый комплекс мер, как правого (организационные, юридические меры) и технического характера, так и мер, лежащих вне плоскости правового регулирования (отношение к организации), которые в совокупности позволят обеспечить нормальное функционирование организации и соблюдение норм действующего законодательства.

Хотите внедрить в своей организации CRM или получить бесплатную консультацию? Тогда звоните нам по телефону: +7(843)202-38-93