Работа с персональными данными

С ними приходится сталкиваться постоянно – и работодателю, обрабатывающему и хранящему личную информацию сотрудника, и работнику, от которого требуется согласие или несогласие на ее использование. При этом действия и первого и второго достаточно жестко регламентируются.

Особенности терминологии

Обработка персональных данных (ПД) регулируется федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон). ПД включают любую информацию, имеющую прямое или косвенное отношение к определенному или определяемому физическому лицу (ст. 3 Закона). Чаще всего обработке подлежат следующие данные: 

• фамилия, имя, отчество
• пол, возраст
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации
• место жительства
• семейное положение, наличие детей, родственные связи
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.)
• финансовое положение, заработная плата
• деловые и иные личные качества, которые носят оценочный характер
• контактные данные (в том числе адрес электронной почты, номер телефона).

Категории ПД, которые обрабатываются реже:

• биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности, используемые для установления личности, в том числе фотография, видеозапись и все, что связано с телом)
• специальные категории ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни
• иные сведения, которые могут идентифицировать личность.

Согласно п. 1 ч. 1 ст. 86 ТК РФ обработка ПД работника (субъекта ПД) может осуществляться исключительно для обеспечения соблюдения законов и иных нормативных правовых актов, личной безопасности работников, сохранности имущества, содействия работникам в трудоустройстве, получении образования и продвижении по службе, контроля количества и качества выполняемой работы.

Основные правила работы с ПД

• Операторы и иные лица, получившие доступ к ПД, обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта ПД, если иное не предусмотрено федеральным законом (ст. 7 Закона)
• Содержание и объем ПД должны соответствовать заранее заявленным конкретным целям обработки данных, при их достижении оператор обязан прекратить обработку или обеспечить ее прекращение и уничтожить ПД в срок, не превышающий 30 дней

Работодатель не имеет права получать и обрабатывать сведения о работнике, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также данные работника о его членстве в общественных объединениях или его профсоюзной деятельности (ст. 86 ТК РФ)

Согласие на обработку данных

Обработка ПД осуществляется с согласия работника (ст. 6, ст. 9 Закона), которое может быть дано в любой форме, позволяющей подтвердить факт его получения. В случае возникновения спора доказывать, что такое согласие существует, должен работодатель (оператор ПД), поэтому целесообразно оформлять его письменно. 

В некоторых случаях письменная форма прямо предусмотрена законом (ч. 4 ст. 9 Закона), например:

• при получении ПД работника у третьей стороны (п. 3 ст. 86 ТК РФ)
• при передаче ПД работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях (абз. 2 ст. 88 ТК РФ)
• для обработки специальных категорий ПД работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст.10 Закона), например, информации о состоянии здоровья в пределах тех сведений, которые относятся к вопросу о возможности выполнения трудовой функции
• для обработки биометрических персональных данных, а именно сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 Закона)
• при поручении обработки ПД работника другой организации (например, для ведения кадрового и бухгалтерского учета) (ч. 3 ст. 6 Закона)
• обработка ПД, разрешенных субъектом для распространения (ст. 10.1 Закона).

Согласие на обработку ПД должно быть конкретным, информированным и сознательным и включать сведения, указанные в ст. 9 Закона:

• фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе
• при получении согласия от представителя работника (в случае смерти, нетрудоспособности)– его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя
• наименование предприятия или фамилию, имя, отчество и адрес работодателя
• цель обработки ПД
• перечень ПД, которые подлежат обработке
• фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку ПД по поручению работодателя, если она поручена такому лицу или организации
• перечень действий с ПД, на совершение которых работником дано согласие, общее описание способов их обработки
• срок, в течение которого действует согласие работника на обработку его ПД, и способ отзыва согласия
• подпись работника.

Все ПД работника аптеки следует получать у него самого (ст. 86 ТК РФ). Если данные может предоставить только третья сторона, субъекта ПД следует заранее уведомить об этом и заручиться его письменным согласием на предоставление таких данных (например, решение Верховного суда Республики Дагестан от 24.05.2018 № 21-607/2018)

При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД, полученных исключительно в результате их автоматизированной обработки и электронно (ст. 86 ТК РФ). Получение ПД из открытых интернет-источников может быть квалифицировано как нарушение, если такой сбор данных будет производиться без согласия на обработку и уведомления уполномоченного органа об обработке таких данных (например, определение Верховного суда РФ от 29.01.2018 № 305-КГ17-21291 по делу № А40-5250/2017).

Обратите внимание!
Роструд рекомендует включить в форму согласия на обработку ПД пункт о разрешении хранения копий документов – паспорта, СНИЛС, ИНН – в личном деле
https://www.rostrud.ru/rostrud/deyatelnost/?ID=591451

Когда согласие не требуется?

Если получить согласие на обработку невозможно (например, работник не выходит на связь), а промедление может повлечь значительные неблагоприятные последствия, допускается обработка ПД без согласия сотрудника (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона). 

Приведем некоторые ситуации, на которые распространяется эта норма:

• обработка необходима для достижения целей, предусмотренных законодательством или международным договором РФ
• обработка осуществляется в связи с участием в судопроизводстве либо в целях исполнения судебного акта или обязательного акта уполномоченного органа, должностного лица
• обработка необходима для исполнения полномочий органов власти, внебюджетных фондов и функций организаций, участвующих в предоставлении госуслуг (федеральный закон от 27 июля 2010 года № 210-ФЗ)
• обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение согласия от работника невозможно
• обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством
• при наличии иных оснований, установленных законодательством.

Общедоступные источники персональных данных

К источникам ПД, которые доступны для широкого круга лиц, можно отнести:

• справочники, адресные книги
• списки работников и их телефонов на рабочих досках
• фотографии на «досках почета»
• данные в рассылке по корпоративной электронной почте о днях рождения сотрудников
• публикации фото работников на сайте компании и др.

Если данные о сотруднике, размещенные работодателем, доступны неопределенному кругу лиц, оформляется письменное согласие на обработку ПД и разрешение на распространение в форме отдельного документа (ст. 10.1 Закона). Требования к содержанию согласия установлены приказом Роскомнадзора от 24.02.2021 № 18.

С 01.03.2022 можно будет получать согласие на обработку общедоступных ПД через систему Роскомнадзора. 

Организация системы защиты ПД в аптеке

Для организации в соответствии с законодательством системы защиты ПД работников в аптеке необходимо:

• издать локальный нормативный акт (Положение или Политика о защите ПД) и ознакомить с ним работников под роспись (ст. 86, 87 ТК РФ)
• назначить лицо, ответственное за обработку ПД (ст. 22.1 Закона)
• закрепить права доступа к ПД только специально уполномоченным на это лицам и получить от них обязательства о неразглашении (ст. 86, 88 ТК РФ)
• организовать хранение ПД за счет средств работодателя в порядке, установленном ТК РФ, Законом и иными федеральными законами с обеспечением защиты ПД от неправомерного их использования или утраты (ст. 86 ТК  РФ)
• определить необходимость уведомления Роскомнадзора об обработке ПД и при необходимости направить уведомление (ст.22 Закона, Приложение 1 к Методическим рекомендациям, утвержденное приказом Роскомнадзора от 30.05.2017 № 94)
• регулярно проверять знания работников о работе с ПД (ст. 86 ТК РФ)
• следить за сроками хранения документов и организовать порядок уничтожения информации (ст. 22.1 федерального закона от 22.10.2004 № 125-ФЗ, Перечень типовых управленческих архивных документов (утвержден приказом Росархива от 20.12.2019 № 236)
• обеспечить техническую защиту информационных систем (постановление правительства РФ от 01.11.2012 № 1119)
• проводить внутренний контроль соблюдения требований законодательства о ПД.

Ответственность за нарушение законодательства о персональных данных

Административная ответственность работодателя предусмотрена ст. 13.11 КоАП РФ, согласно которой нарушение законодательства РФ в области ПД в зависимости от состава правонарушения может повлечь наложение административного штрафа на должностных лиц от 6 000 до 800 000 руб., на юридических лиц – от 30 000 до 18 000 000 руб. Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо. 

Кроме административной ответственности при доказательстве факта незаконной передачи персональных данных суд может взыскать с работодателя моральный вред в пользу работника (ст. 90, ст. 237 ТК РФ). В соответствии со ст. 151 Гражданского кодекса РФ, если гражданину причинен моральный вред, нарушитель обязан обеспечить денежную компенсацию.

Работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту ПД других работников, может быть привлечен к дисциплинарной (пп. «в» п. 6 ч. 1 ст. 81, ст. 193 ТК РФ) и материальной (ст. 238, п. 7 ч. 1 ст. 243ТК РФ), а также к гражданско-правовой (ст. 151, ст. 1099 ГК РФ), административной (ст. 13.14 КоАП РФ) и уголовной ответственности (ст.137 УК РФ).

Юлия Жижерина

Журнал "Российские аптеки" №3, 2022