Что нужно знать о персональных данных работника - ТК РФ

05 декабря 2018 Бушмин Сергей Викторович 0

Персональные данные работника ТК РФ определяет как личную информацию о сотруднике, порядок сбора, обработки и использования которой регулируется нормами данного кодекса и иными нормативными актами. Обо всех этих моментах и расскажет предлагаемая нами статья. 

Нормативные акты и документы по персональным данным (ТК РФ, закон № 152-ФЗ, подзаконные акты)

Вопросам работы с личными данными работников посвящены статьи 86–90 ТК РФ. Однако при применении перечисленных статей практикам следует учитывать, что основным нормативным актом, которым регулируется порядок работы с личной информацией работников, является закон «О персональных данных» от 27.07.2006 № 152-ФЗ.

Указанный ФЗ содержит определение основных терминов, используемых при обработке личной информации, перечень мер, направленных на защиту прав работников и порядок их применения в организации, а также примерный перечень внутренних документов организации, которые необходимы для регламентации работы сотрудников с персональными данными.

Помимо норм ФЗ № 152 обязательными для организации являются:

  • положение, утвержденное постановлением Правительства РФ «Об утверждении…» от 15.09.2008 № 687, применяемое при ручной обработке личной информации о работниках;
  • требования к работе автоматизированных комплексов обработки данных, которые установлены постановлением Правительства РФ «Об утверждении…» от 01.11.2012 № 1119.

В свою очередь, нормы ТК РФ дополняют требования перечисленных нормативных актов и конкретизируют их положения, действующие в отношении именно сотрудников организации. Кроме того, помимо нормативных документов в организации так же могут применяться и локальные акты — их примерный перечень и основания для разработки содержатся в части 1 статьи 18.1 ФЗ № 152.

Среди них:

  • политика организации в сфере защиты личных данных;
  • положение об обработке таких данных;
  • различные инструкции и регламенты, регулирующие доступ к носителям информации, порядок их заполнения, хранения, утилизации и т. д.

Определение и перечень обрабатываемых личных данных работника в организации

Согласно статье 3 ФЗ № 152, персональные данные — это любая личная информацию о человеке, которая позволяет идентифицировать его среди других граждан. При этом исчерпывающего перечня данных, которые могут быть признаны персональными, не содержит ни ТК РФ, ни ФЗ № 152, поэтому обычно к таковым относят Ф. И. О. человека, его адрес и телефон, сведения о квалификации, уровне образования, семейном положении, уровне доходов и т. п.

Статья 86 ТК РФ ограничивает организацию в сборе личных данных своих работников. В частности, работодателю разрешено обрабатывать такие данные исключительно для следующих целей:

  • соблюдения норм трудового законодательства (например, при оформлении трудового соглашения и иных документов, связанных с работой);
  • помощи в поиске работы;
  • получения специального или иного образования, повышения квалификации и профессионального (карьерного) роста;
  • обеспечения безопасности труда, контроля за качественными и количественными показателями, обеспечения сохранности имущества организации.

При этом пункт 3 этой статьи указывает, что все необходимые данные для организации о своем работнике могут быть получены только от самого работника. Кроме того, пункты 4 и 5 прямо запрещают организации собирать сведения о членстве работника в профсоюзах или иных общественных организациях, а также информацию, которая относится к специальным категориям личных данных (согласно статьям 10 и 11 ФЗ № 152, к таковым относятся данные о религиозных и политических убеждениях, национальной принадлежности, личной жизни, состоянии здоровья и т. д.).

Правила работы с личными данными, которые являются обязательными для работодателя

Пункт 7 части 1 статьи 86 и статья 87 ТК РФ содержат в себе отсылочные нормы, которые указывают, что порядок работы, а также меры, принимаемые для защиты личных данных, предусматриваются профильным законодательством, то есть ФЗ № 152. Единственное прямое требование к работодателю при этом, согласно пункту 8 ТК РФ, — обязательное ознакомление под подпись своих работников (их представителей) с документами организации, которые регламентируют работу с личной информацией. Таким образом, работодателю при организации работы с личными данными следует опираться на требования статей 18.1 и 19 ФЗ № 152.

Статья 18.1 содержит перечень мер, которые организация может применять для защиты личной информации. К таковым, в частности, относятся:

  • назначение ответственного сотрудника за работу с личными данными;
  • издание локальных актов, регулирующих порядок обработки личной информации;
  • проведение внутреннего контроля за соблюдение мер безопасности при работе с данными;
  • оценка возможных последствий при утрате или несанкционированном доступе к личным данным и т. д.

Статья 19 также обязывает организацию применять комплекс технических, юридических, административных и иных мер, направленных на недопущение к данным граждан посторонних лиц, в том числе:

  • определять порядок хранения и доступа к носителям информации;
  • вести их учет (нумеровать, фиксировать факты передачи от одного сотрудника другому, составлять акты об утере, уничтожении и т. д.);
  • использовать антивирусы и иное программное обеспечение для защиты локальных сетей организации;
  • проводить инструктаж работников по работе с личными данными;
  • определять порядок заполнения бумажных форм, содержащих личную информацию, и т. д.

Положение для работы с личными данными

Стоит отметить, что ни ФЗ № 152, ни подзаконными актами не устанавливается точного алгоритма работы с персональными данными — определяются лишь общие требования к такой работе. Именно поэтому в целях упорядочения данного процесса, опираясь на требования статей 18.1, 19 ФЗ № 152, упомянутых выше постановлений Правительства РФ № 687, 1119 и нормы ТК РФ, работодателю желательно издать положение, которое детально будет регламентировать все процедуры, связанные с обработкой личных данных (сбор, хранение, использование, обезличивание, передачу внутри организации, уничтожение и т. д.).

В данном положении также следует уделить внимание правам работников, которые предусмотрены статьей 89 ТК РФ, в частности:

  • на бесплатный и свободный доступ работника к своим личным данным;
  • уточнение и внесение исправлений в случае установления неполноты или недостоверности личных данных;
  • определение представителей, которые будут осуществлять защиту прав работников в данной сфере.

Что понимается под охраной личных данных, каковы санкции за нарушение правил работы с ними для организаций с 1 июля?

Правила и ограничения, применяемые согласно нормам ТК РФ и ФЗ № 152 в отношении работы с персональными данными, направлены на их охрану, а также (согласно статье 2 ФЗ № 152) защиту права работников на личную, семейную тайну, неприкосновенность частной жизни и т. д. При этом статья 90 ТК РФ определяет, что и работодатели, и сотрудники, нарушающие положения действующего законодательства о защите личных данных, должны привлекаться к ответственности (материальной, дисциплинарной, административной и т. д.).

Наиболее эффективными мерами следует считать применение дисциплинарных взысканий за нарушение правил обработки личных данных, установленных в организации, согласно статье 192 ТК РФ, а также мер административной ответственности, санкции по которым были усилены с 1 июля 2017 года. Так, невыполнение организацией обязанности по надлежащему хранению носителей личных данных, которое повлекло их утрату, порчу или незаконное распространение, наказывается с 1 июля 2017 года, согласно части 6 статьи 13.11 КоАП РФ, штрафом от 25 до 50 тыс. руб. Статья 13.11 КоАП устанавливает дифференцированную ответственность граждан, ИП и организаций за нарушения, связанные с работой с персональными данными. Так, размер штрафа за различные правонарушения в данной сфере для организации может составлять от 15 до 75 тыс. руб.

***

Подводя итог, отметим, что вопросы обработки и защиты персональных данных работников нормами ТК РФ регулируются лишь фрагментарно. В связи с этим для выполнения своих обязанностей работодателю необходимо также опираться на нормы профильного ФЗ № 152, а также подзаконные акты, принятые для его исполнения.