2020-06-29
168
В трудовых право отношениях работодатель выступает в качестве оператора персональных данных, т. е. юридического или физического лица, самостоятельно или совместно с другими лицами организующего и (или) осуществляющего обработку персональных данных, а также определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Федерального закона «О персональных данных»).
Обработка персональных данных представляет собой любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка персональных данных работника возможна как с использованием средств автоматизации, так и без использования таких средств. При этом существует необходимость обособления этих категорий персональных данных. Порядок обработки персональных данных работников, осуществляемый без использования средств автоматизации, регулируется постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
В настоящее время широкое распространение получает автоматизированная обработка персональных данных, т. е. их обработка с помощью средств вычислительной техники. Осуществляя такую обработку, работодатель обязан руководствоваться постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Необходимо иметь в виду, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Кроме того, в силу п. 6 ст. 86 ТК при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Не стоит забывать и о том, что, осуществляя действия по обработке персональных данных работника с использованием средств автоматизации, в частности компьютерной техники, на работодателя распространяются положения Федерального закона от 27 июня 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Следует особенно подчеркнуть, что обработка любой информации, относящейся к персональным данным работника, по общему правилу допускается только с согласия субъекта персональных данных, т. е. самого работника. Хотя по смыслу ч. 1 ст. 9 Федерального закона «О персональных данных» согласие субъекта на обработку персональных данных может быть дано в любой позволяющей подтвердить факт его получения форме, представляется, что в трудовых правоотношениях такое согласие должно быть оформлено в письменном виде путем составления отдельного документа либо может быть включено в качестве одного из условий непосредственно в трудовой договор. При этом для работников, осуществляющих трудовую деятельность дистанционно, положения ст. 312.1 и 312.2 ТК позволяют дать такое согласие с использованием электронно-цифровой подписи работника посредством, например, сети Интернет. Обязательным условием такого согласия, помимо прочего, является сам перечень персональных данных, на обработку которых субъект дает свое согласие.
Последствием несоблюдения письменной формы согласия работника на обработку его персональных данных будет запрет на все виды обработки и использования таких сведений. Кроме того, закон предусматривает право субъекта в любой момент отозвать свое согласие на обработку персональных данных.
В соответствии со ст. 5 Федерального закона «О персональных данных» можно выделить следующие принципы обработки персональных данных.
1. Обработка персональных данных на законной и справедливой основе. Суть этого принципа заключается в том, что при осуществлении всех действий по обработке персональных данных работников работодатель обязан руководствоваться положениями действующего законодательства и локальными нормативными актами организации, которые не должны противоречить установленным законодательством о персональных данных основам. Таким образом, свобода действий сторон, прежде всего оператора персональных данных, допускается только в установленных законом пределах.
2. Ограничение обработки персональных данных достижением заранее определенных законных целей. При этом обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается. Смысл данного принципа заключается в том, что не допускаются произвольное истребование и обработка персональных данных от субъекта, само требование о предоставлении персональных данных должно иметь под собой законные основания и, как обязательное условие, обоснованные цели их предоставления и обработки.
3. Запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях. Исходя из анализа указанного принципа можно сделать вывод о том, что оператор персональных данных обязан производить сортировку персональных данных своих работников в зависимости от цели их обработки и, кроме того, осуществлять обособленное (раздельное) хранение и использование таких данных. Другими словами, если работодателю потребуется произвести какие-либо действия с персональными данными конкретной категории, например в целях уплаты страховых взносов за своих работников в Пенсионный фонд
России, то он должен осуществлять доступ только к таким персональным данным работника, которые соответствуют цели уплаты страховых взносов, а не к любым персональным данным работников.
4. Обработке подлежат только те персональные данные, которые отвечают целям их обработки. По общему правилу при осуществлении обработки персональных данных работников работодатель обязан ознакомить работника с целями их обработки, при необходимости дать разъяснения относительно таких целей, а запрос на предоставление персональных данных работника должен быть мотивированным, отвечающим требованиям сбора и обработки таких данных.
5. Обрабатываемые персональные данные работника должны соответствовать целям их обработки по объему и содержанию. Запрещается требовать избыточные по отношению к целям их обработки персональные данные. Данный принцип обработки персональных данных тесно соотносится с предыдущим и дополнительно указывает оператору персональных данных на недопустимость требования излишних сведений от работника, которые охватывают собой более широкие области, нежели это необходимо для целей их обработки. Практическое применение данного принципа заключается в возможности отказа работника предоставлять избыточные персональные данные для указанной работодателем цели их обработки.
6. Обеспечение точности, достаточности и актуальности персональных данных при их обработке, обязанность оператора обеспечивать принятие, удаление или уточнение неполных или неточных данных. Для достижения законных целей обработки персональных данных работник должен предоставлять работодателю точные сведения, т. е. соответствующую действительности актуальную информацию. Если в процессе трудовых отношений имеющиеся у работодателя персональные данные работника нуждаются в уточнении, дополнении или актуализации, то осуществление таких действий допускается по требованию работника или мотивированному запросу от работодателя. При этом на работников в данном случае распространяется общеправовой принцип запрета злоупотребления правом.
7. Осуществление хранения персональных данных, позволяющих индивидуализировать субъекта персональных данных, не дольше, чем этого требуют цели обработки или срок хранения, установленный законом либо договором. Обязательность уничтожения либо обезличивания персональных данных в случае достижения целей их обработки или утраты необходимости достижения таких целей. Наличие целей обработки и хранения персональных данных подразумевает возможность их достижения. Важным принципом является обязанность работодателя прекратить обработку и хранение персональных данных работников, а также произвести их удаление в случае достижения тех целей, для которых производилась их обработка. Например, в случае прекращения трудовых отношений с работником и оформления процедуры его увольнения по общему правилу работодатель обязан обезличить либо уничтожить такие персональные данные, так как цели их обработки достигнуты. То же самое можно утверждать и в отношении соискателей, т. е. лиц, ищущих работу и обращавшихся к работодателю в целях трудоустройства (кандидатов в приеме на работу). На практике в процессе переговоров по трудоустройству соискатели предоставляют работодателю определенные сведения о своей личности: фамилию, имя, отчество; сведения об образовании, квалификации, опыте работы; в некоторых случаях сведения о состоянии здоровья, семейном положении; заполняют анкеты и др. При этом соискатели точно так же должны предоставлять согласие на сбор и обработку таких персональных данных. Однако в случае отказа в приеме на работу, который может быть мотивирован в том числе и на отдельных персональных данных работника (образование, опыт работы и т. д.), как следует из указанного принципа, работодателю следует обезличить или удалить такие персональные данные соискателя, так как цели их сбора и обработки достигнуты. То есть отношения по обработке персональных данных могут возникнуть и в период трудоустройства.
Права субъекта персональных данных. Статья 89 ТК, а также ст. 14 Федерального закона «О персональных данных» устанавливают следующие права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя:
право на полную информацию о своих персональных данных и обработке этих данных. Данное право включает в себя также право работника требовать от работодателя разъяснения целей и правовых оснований обработки персональных данных. Работник также вправе запрашивать от работодателя сведения о лицах, имеющих доступ к персональным данным, и о лицах, которым такая информация может быть раскрыта. Кроме того, по требованию работника работодатель обязан сообщить сроки обработки персональных данных, включая сроки их хранения;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.
Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
работник имеет право в любой момент отозвать свое согласие на обработку персональных данных, при этом работодатель обязан прекратить их обработку или обеспечить такое прекращение;
обжаловать в суде любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных. В силу п. 9 ст. 86 ТК работники не должны отказываться от своих прав на сохранение и защиту тайны, которую составляют персональные данные работников.
Исходя из анализа ст. 19 Федерального закона «О персональных данных» и ст. 86 ТК можно выделить следующие обязанности оператора (работодателя) при обработке персональных данных работника.
1. В первую очередь работодатель обязан осуществлять ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства, требованиями к защите персональных данных, локальными нормативными актами, а остальных работников — с действующим в организации локальным нормативным актом, регулирующим обработку персональных данных работников данной организации. В соответствии с правилами ч. 3 ст. 68 ТК такое ознакомление должно производиться по общему правилу при приеме на работу (до подписания трудового договора) одновременно с ознакомлением работника с иными локальными нормативными актами организации. При этом работник должен быть ознакомлен с таким документом под роспись. Наличие в законе соответствующих положений указывает на обязанность работодателя принять в организации локальный нормативный акт, посвященный обработке персональных данных работников, что вытекает также из смысла ст. 88 ТК и подтверждается сложившейся судебной практикой по обращению работников организации или прокурора в защиту интересов работников организации с требованием обязать работодателей разработать и принять соответствующий локальный нормативный акт. Кроме того, как указывает п. 10 ст. 86 ТК, меры защиты персональных данных работников должны вырабатываться совместно работодателем, работниками и их представителями.
2. Работодатель вправе обрабатывать персональные данные работников исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
При этом не допускается получение избыточных персональных данных или персональных данных, не соответствующих целям их обработки. Во всех случаях сбора и обработки персональных данных работодатель должен сообщать работнику цели таких действий. Как уже указывалось в настоящей главе, по общему правилу в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных. В случае отказа работодателя по требованию работника внести изменения в персональные данные или уничтожить их такой отказ возможно обжаловать в судебном порядке.
3. Работодатель в соответствии со ст. 19 Федерального закона «О персональных данных» обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Кроме того, работодатель обязан обеспечить внутренний контроль и (или) аудит соответствия обработки персональных данных действующему законодательству и регулирующих этот вопрос локальным нормативным актам организации. Указанные мероприятия должны производиться работодателем за счет его собственных средств. В соответствии с постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Кроме того, в указанном документе установлены необходимые уровни защищенности персональных данных в соответствии с типологией угроз информационной системы при автоматизированной обработке персональных данных.
4. Все персональные данные работника работодатель должен получать у него самого.
Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие на такие действия. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Необходимо иметь в виду, что в некоторых случаях отказ работника на обработку своих персональных данных может нести негативные последствия для него самого: от непредоставления работнику предусмотренных законодательством льгот и гарантий и вплоть до отказа в приеме на работу. Статья 86 ТК также устанавливает запрет на получение и обработку работодателем персональных данных работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, в которых законодательство позволяет это делать.
5. Оператор обязан внести изменения в персональные данные по заявлению субъекта в случае предоставления им сведений о том, что персональные данные являются неполными, неточными или неактуальными, и уведомить о таком изменении субъекта, а также незамедлительно удалить персональные данные субъекта по его требованию.
Федеральный закон «О персональных данных» допускает возможность оператора персональных данных (работодателя) передать полномочия по обработке персональных данных иным лицам, уполномоченным на такие действия работодателем на основании гражданско-правового договора, однако такие действия допускаются только с согласия субъекта персональных данных. При этом ответственность за обработку персональных данных перед субъектом все равно будет нести непосредственно оператор.
При обработке персональных данных, обрабатываемых в связи с трудовым законодательством, закон освобождает работодателя, в отличие от иных операторов персональных данных, от обязанности проводить такие действия с уведомлением уполномоченного органа по защите прав субъектов персональных данных. При этом работодатель, являющийся юридическим лицом, обязан назначить ответственное за организацию обработки персональных данных лицо.
Как уже указывалось в настоящей главе, Положение об обработке персональных данных является обязательным документом, который должен быть разработан и утвержден работодателем (как юридическим лицом, так и индивидуальным предпринимателем). При этом на основании ст. 22 ТК работодатель обязан ознакомить всех работников организации (как работающих, так и принимаемых на работу вновь) с таким Положением (локальным нормативным актом). Соответственно, осуществлять все действия по обработке персональных данных работодатель должен на основании такого Положения. При этом можно сделать вывод о том, что отсутствие локального нормативного акта об обработке персональных данных нарушает закрепленные в ст. 88 ТК права работников относительно порядка обработки их персональных данных. Таким образом, если работодатель не принимает указанный локальный нормативный акт, его можно обязать совершить данные действия в судебном порядке, а также привлечь к административной ответственности в соответствии со ст. 5.27 КоАП РФ.
Положение об обработке персональных данных должно устанавливать:
структурные подразделения или непосредственные должности, осуществляющие обработку и хранение персональных данных работников;
процедуру хранения персональных данных сотрудников (на электронных или бумажных носителях) в порядке, исключающем их утрату или их неправомерное использование;
порядок доступа к персональным данным сотрудников;
порядок и случаи уничтожения персональных данных работников;
сроки хранения документов, содержащих персональные данные работников;
дополнительные меры, направленные на защиту персональных данных работников.
В некоторых организациях могут действовать локальные нормативные акты о коммерческой, служебной или банковской тайне. Наличие таких локальных нормативных актов не освобождает работодателя от обязанности принять положение, посвященное работе с персональными данными своих сотрудников. В целях соблюдения законности при работе с персональными данными, а также эффективности их использования и минимизации возникновения спорных ситуаций работодателю следует фиксировать все действия, осуществляемые с персональными данными работников, в специальном журнале учета.
