С ними приходится сталкиваться постоянно – и работодателю, обрабатывающему и хранящему личную информацию сотрудника, и работнику, от которого требуется согласие или несогласие на ее использование. При этом действия и первого и второго достаточно жестко регламентируются.
Особенности терминологии
Обработка персональных данных (ПД) регулируется федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон). ПД включают любую информацию, имеющую прямое или косвенное отношение к определенному или определяемому физическому лицу (ст. 3 Закона). Чаще всего обработке подлежат следующие данные:
- фамилия, имя, отчество
- пол, возраст
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации
- место жительства
- семейное положение, наличие детей, родственные связи
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.)
- финансовое положение, заработная плата
- деловые и иные личные качества, которые носят оценочный характер
- контактные данные (в том числе адрес электронной почты, номер телефона).
Категории ПД, которые обрабатываются реже:
- биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности, используемые для установления личности, в том числе фотография, видеозапись и все, что связано с телом)
- специальные категории ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни
- иные сведения, которые могут идентифицировать личность.
Согласно п. 1 ч. 1 ст. 86 ТК РФ обработка ПД работника (субъекта ПД) может осуществляться исключительно для обеспечения соблюдения законов и иных нормативных правовых актов, личной безопасности работников, сохранности имущества, содействия работникам в трудоустройстве, получении образования и продвижении по службе, контроля количества и качества выполняемой работы.
Основные правила работы с ПД
- Операторы и иные лица, получившие доступ к ПД, обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта ПД, если иное не предусмотрено федеральным законом (ст. 7 Закона)
- Содержание и объем ПД должны соответствовать заранее заявленным конкретным целям обработки данных, при их достижении оператор обязан прекратить обработку или обеспечить ее прекращение и уничтожить ПД в срок, не превышающий 30 дней
Работодатель не имеет права получать и обрабатывать сведения о работнике, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также данные работника о его членстве в общественных объединениях или его профсоюзной деятельности (ст. 86 ТК РФ)
Согласие на обработку данных
Обработка ПД осуществляется с согласия работника (ст. 6, ст. 9 Закона), которое может быть дано в любой форме, позволяющей подтвердить факт его получения. В случае возникновения спора доказывать, что такое согласие существует, должен работодатель (оператор ПД), поэтому целесообразно оформлять его письменно.
В некоторых случаях письменная форма прямо предусмотрена законом (ч. 4 ст. 9 Закона), например:
- при получении ПД работника у третьей стороны (п. 3 ст. 86 ТК РФ)
- при передаче ПД работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях (абз. 2 ст. 88 ТК РФ)
- для обработки специальных категорий ПД работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст.10 Закона), например, информации о состоянии здоровья в пределах тех сведений, которые относятся к вопросу о возможности выполнения трудовой функции
- для обработки биометрических персональных данных, а именно сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 Закона)
- при поручении обработки ПД работника другой организации (например, для ведения кадрового и бухгалтерского учета) (ч. 3 ст. 6 Закона)
- обработка ПД, разрешенных субъектом для распространения (ст. 10.1 Закона).
Согласие на обработку ПД должно быть конкретным, информированным и сознательным и включать сведения, указанные в ст. 9 Закона:
- фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе
- при получении согласия от представителя работника (в случае смерти, нетрудоспособности)– его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя
- наименование предприятия или фамилию, имя, отчество и адрес работодателя
- цель обработки ПД
- перечень ПД, которые подлежат обработке
- фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку ПД по поручению работодателя, если она поручена такому лицу или организации
- перечень действий с ПД, на совершение которых работником дано согласие, общее описание способов их обработки
- срок, в течение которого действует согласие работника на обработку его ПД, и способ отзыва согласия
- подпись работника.
Все ПД работника аптеки следует получать у него самого (ст. 86 ТК РФ). Если данные может предоставить только третья сторона, субъекта ПД следует заранее уведомить об этом и заручиться его письменным согласием на предоставление таких данных (например, решение Верховного суда Республики Дагестан от 24.05.2018 № 21-607/2018)
При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД, полученных исключительно в результате их автоматизированной обработки и электронно (ст. 86 ТК РФ). Получение ПД из открытых интернет-источников может быть квалифицировано как нарушение, если такой сбор данных будет производиться без согласия на обработку и уведомления уполномоченного органа об обработке таких данных (например, определение Верховного суда РФ от 29.01.2018 № 305-КГ17-21291 по делу № А40-5250/2017).
Обратите внимание!
Роструд рекомендует включить в форму согласия на обработку ПД пункт о разрешении хранения копий документов – паспорта, СНИЛС, ИНН – в личном деле
https://www.rostrud.ru/rostrud/deyatelnost/?ID=591451
Когда согласие не требуется?
Если получить согласие на обработку невозможно (например, работник не выходит на связь), а промедление может повлечь значительные неблагоприятные последствия, допускается обработка ПД без согласия сотрудника (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона).
Приведем некоторые ситуации, на которые распространяется эта норма:
- обработка необходима для достижения целей, предусмотренных законодательством или международным договором РФ
- обработка осуществляется в связи с участием в судопроизводстве либо в целях исполнения судебного акта или обязательного акта уполномоченного органа, должностного лица
- обработка необходима для исполнения полномочий органов власти, внебюджетных фондов и функций организаций, участвующих в предоставлении госуслуг (федеральный закон от 27 июля 2010 года № 210-ФЗ)
- обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение согласия от работника невозможно
- обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством
- при наличии иных оснований, установленных законодательством.
Общедоступные источники персональных данных
К источникам ПД, которые доступны для широкого круга лиц, можно отнести:
- справочники, адресные книги
- списки работников и их телефонов на рабочих досках
- фотографии на «досках почета»
- данные в рассылке по корпоративной электронной почте о днях рождения сотрудников
- публикации фото работников на сайте компании и др.
Если данные о сотруднике, размещенные работодателем, доступны неопределенному кругу лиц, оформляется письменное согласие на обработку ПД и разрешение на распространение в форме отдельного документа (ст. 10.1 Закона). Требования к содержанию согласия установлены приказом Роскомнадзора от 24.02.2021 № 18.
С 01.03.2022 можно будет получать согласие на обработку общедоступных ПД через систему Роскомнадзора.
Организация системы защиты ПД в аптеке
Для организации в соответствии с законодательством системы защиты ПД работников в аптеке необходимо:
- издать локальный нормативный акт (Положение или Политика о защите ПД) и ознакомить с ним работников под роспись (ст. 86, 87 ТК РФ)
- назначить лицо, ответственное за обработку ПД (ст. 22.1 Закона)
- закрепить права доступа к ПД только специально уполномоченным на это лицам и получить от них обязательства о неразглашении (ст. 86, 88 ТК РФ)
- организовать хранение ПД за счет средств работодателя в порядке, установленном ТК РФ, Законом и иными федеральными законами с обеспечением защиты ПД от неправомерного их использования или утраты (ст. 86 ТК РФ)
- определить необходимость уведомления Роскомнадзора об обработке ПД и при необходимости направить уведомление (ст.22 Закона, Приложение 1 к Методическим рекомендациям, утвержденное приказом Роскомнадзора от 30.05.2017 № 94)
- регулярно проверять знания работников о работе с ПД (ст. 86 ТК РФ)
- следить за сроками хранения документов и организовать порядок уничтожения информации (ст. 22.1 федерального закона от 22.10.2004 № 125-ФЗ, Перечень типовых управленческих архивных документов (утвержден приказом Росархива от 20.12.2019 № 236)
- обеспечить техническую защиту информационных систем (постановление правительства РФ от 01.11.2012 № 1119)
- проводить внутренний контроль соблюдения требований законодательства о ПД.
Ответственность за нарушение законодательства о персональных данных
Административная ответственность работодателя предусмотрена ст. 13.11 КоАП РФ, согласно которой нарушение законодательства РФ в области ПД в зависимости от состава правонарушения может повлечь наложение административного штрафа на должностных лиц от 6 000 до 800 000 руб., на юридических лиц – от 30 000 до 18 000 000 руб. Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.
Кроме административной ответственности при доказательстве факта незаконной передачи персональных данных суд может взыскать с работодателя моральный вред в пользу работника (ст. 90, ст. 237 ТК РФ). В соответствии со ст. 151 Гражданского кодекса РФ, если гражданину причинен моральный вред, нарушитель обязан обеспечить денежную компенсацию.
Работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту ПД других работников, может быть привлечен к дисциплинарной (пп. «в» п. 6 ч. 1 ст. 81, ст. 193 ТК РФ) и материальной (ст. 238, п. 7 ч. 1 ст. 243ТК РФ), а также к гражданско-правовой (ст. 151, ст. 1099 ГК РФ), административной (ст. 13.14 КоАП РФ) и уголовной ответственности (ст.137 УК РФ).
Юлия Жижерина
