Обработка персональных данных в трудовых и гражданско-правовых отношениях
5 июня 2023 г.
С самого начала деятельности практически любая компания собирает и использует персональные данные своих работников и контрагентов.
Ранее их обработка могла осуществляться без уведомления Роскомнадзора. Однако с 1 сентября 2022 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных», «ФЗ № 152-ФЗ», «Закон № 152-ФЗ»), которые существенно поменяли правила работы с персональными данными.
В статье мы рассмотрим, какие персональные данные обрабатываются в трудовых и гражданско-правовых отношениях, каковы требования к их обработке и защите.
Что относится к персональным данным работников?
В соответствии с пунктом 1 статьи 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, персональными данными являются любые сведения о человеке, которые прямо или косвенно позволяют его идентифицировать.
Закон о персональных данных выделяет несколько категорий персональных данных: общие, специальные и биометрические. При этом перечня общих персональных данных Закон не содержит.
В трудовых отношениях к общим персональным данным относят: ФИО, дату и место рождения работника, его адрес и телефон, паспортные данные, информацию о семейном, социальном и имущественном положении, образовании, профессии, занимаемой должности, стаже работы и т.д. Данный перечень не является исчерпывающим, на практике нередко возникают вопросы об отнесении той или иной информации к персональным данным. Например, являются ли персональными данными информация о заработной плате работника. По мнению Роскомнадзора, как органа, уполномоченного на защиту прав субъектов персональных данных, сведения о заработной плате лица являются информацией, содержащей персональные данные субъекта[1].
Специальными персональными данными являются сведения, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни (часть 1 статьи 10 ФЗ № 152-ФЗ). Работодатель не имеет права получать и обрабатывать специальные персональные данные работников, за исключением случаев прямо предусмотренных федеральными законами.
Биометрическими персональными данными являются сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность (часть 1 статьи 11 ФЗ № 152-ФЗ). К таковым относят физиологические данные (дактилоскопические данные, радужная оболочка глаз, голос, анализы ДНК и другие), а также иные физиологические или биологические характеристики человека, в том числе, изображение человека (фотография и видеозапись). При отнесении информации к биометрическим персональным данным также возникает немало вопросов.
Например, являются ли таковыми фотографическое изображение, содержащееся в личном деле работника или используемое для обеспечения прохода на охраняемую территорию, материалы видеосъемки работников на рабочих местах и территории? В 2013 году Роскомнадзор разъяснил, что фото работника, содержащееся в личном деле работника, видеосъемка работников не могут рассматриваться как биометрические персональные данные, поскольку не используются оператором для установления личности. А вот фотографическое изображение и иные сведения, используемые для прохода на охраняемую территорию и установления личности гражданина, относятся к биометрическим персональным данным[2]. Однако письмом Роскомнадзора от 19.11.2021 № 09-78548 данные разъяснения были признаны неактуальными и удалены с официального сайта контролирующего органа.
В настоящее время в данном вопросе можно ориентироваться на позицию Роскомнадзора, сформулированную в письме от 10.02.2020 № 08АП-6782, согласно которому биометрические персональные данные будут являться таковыми при наличии следующих условий:
- они признаны таковыми в силу положений нормативных правовых актов;
- они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
- они используются оператором для установления личности субъекта персональных данных.
Аналогичной позиции придерживаются и суды. В частности, Верховный Суд РФ в определении от 05.03.2018 № 307-КГ18-101 признал правомерной выдачу предписания об устранении нарушений, допущенных оператором персональных данных, при использовании фотографий на пропусках для идентификации личности.
Отметим, что вопрос отнесения той или иной информации к персональным данным и классификации ее по видам носит не теоретический характер, поскольку от этого зависит, какие требования предъявляются к их обработке и каковы последствия нарушения этих требований.
Общие принципы и условия обработки персональных данных
В соответствии с частью 3 статьи 3 Закона о персональных данных обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. К таковым Закон о персональных данных относит сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
До начала обработки персональных данных работодатель обязан подать соответствующее уведомление в Роскомнадзор. Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Роскомнадзора от 28.10.2022 № 180[3]. За непредоставление сведений привлекут к административной ответственности по статье 19.7 КоАП РФ. Напомним, что до 1 сентября 2022 года многих работодателей данная обязанность не касалась.
Принципы и условия обработки персональных данных работников регламентированы в Законе о персональных данных, а также в главе 14 Трудового кодекса РФ. Так при обработке персональных данных должны соблюдаться следующие принципы:
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Статьей 86 ТК РФ определены допустимые цели обработки в трудовых отношениях:
- обеспечение соблюдения законов и иных нормативных правовых актов;
- содействие работникам в трудоустройстве, получении образования и продвижении по службе;
- обеспечение личной безопасности работников;
- контроль количества и качества выполняемой работы и обеспечение сохранности имущества.
Обработка персональных данных работников с иными целями, запрещена.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки и не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность достаточность и актуальность персональных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, и не дольше, чем этого требуют цели обработки, если иное не установлено федеральным законом или договором с субъектом персональных данных.
В каких случаях обработка персональных данных работника возможна без его согласия?
По общему правилу обработка персональных данных осуществляется только с согласия субъекта персональных данных, в т.ч. работника. Обрабатывать персональные данные без согласия их субъекта можно только в случаях, прямо предусмотренных в законе. Применительно к рассматриваемой нами теме без согласия работника обработка общих персональных данных согласно части 1 статьи 6 Закона о персональных данных может быть осуществлена в следующих случаях:
1. Обработка необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора персональных данных функций, полномочий и обязанностей. Так, например, не требует согласия работника передача его персональных данных в налоговые органы, органы социального страхования и т.п. в целях выполнения возложенных на работодателя законом обязанностей.
2. Обработка осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
Проиллюстрируем на примере из судебной практики. В одном из рассматриваемых в суде дел работник обратился в суд с иском к работодателю о компенсации морального вреда, причиненного обработкой персональных данных, в размере 100 000 рублей. Судом было установлено, что ранее между сторонами возник трудовой спор относительно законности увольнения истца. С апелляционной жалобой работодатель приложил копию трудовой книжки истца, что, как посчитал работник, является нарушением условий обработки его персональных данных. Суд решил, что копия трудовой книжки представлялась суду в рамках прав, предоставленных стороне процессуальным законом, в обоснование своей позиции по делу. Во взыскании морального вреда работника суд отказал[4].
3. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
К примеру, в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан» медицинская организация обязана информировать граждан, в том числе с использованием Интернета, о своих медицинских работниках, уровне их образования, квалификации. В связи с этим размещение на информационных стендах и сайтах медицинской организации информации, содержащей ФИО, сведения о занимаемой должности, образовании и квалификации медицинских работников не требует получения их согласия.
4. Обработка специальных персональных данных без согласия работника допускается в случаях, предусмотренных частью 2 статьи 10 Закона № 152-ФЗ, в том числе, если обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.
Так, например, в силу статьи 69 ТК РФ отдельные категории работников подлежат медицинскому осмотру. Заключение по результатам медицинского осмотра, содержащее информацию о наличии или отсутствии медицинских противопоказаний к работе и группу здоровья работника, направляется работодателю.
5. Обработка персональных данных осуществляется в соответствии законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством, а также органами прокуратуры в связи с осуществлением ими прокурорского надзора;
Так, на основании данного пункта допускается передавать персональные данные работника при получении мотивированных запросов от органов прокуратуры, правоохранительных органов и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
В остальных случаях, прямо не предусмотренных законом, на любые действия с персональными данными работодатель должен получить согласие работника.
Требования к согласию на обработку персональных данных работника
Требования к содержанию согласия предусмотрены в статье 9 Закона № 152-ФЗ.
Во-первых, оно должно быть конкретным, предметным, информированным, сознательным и однозначным.
Во-вторых, согласие дается только в письменной форме:
- на обработку специальных категорий персональных данных;
- на обработку биометрических персональных данных;
- в случаях принятия решения на основании исключительно автоматизированной обработки его персональных данных.
В иных случаях согласие может быть дано и в любой иной форме. Однако, поскольку на работодателя возлагается обязанность предоставить доказательство получения согласия, рекомендуем оформлять письменное согласие во всех случаях.
В-третьих, согласие должно содержать следующий обязательный состав данных:
- ФИО, адрес работника, реквизиты документа, удостоверяющего его личность;
- ФИО, адрес, реквизиты документа, удостоверяющего его личность, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
- наименование или ФИО, адрес работодателя;
- цель обработки персональных данных;
- перечень персональных данных, которые подлежат обработке;
- ФИО и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена третьему лицу;
- перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
- срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
- подпись работника.
Отдельно от других согласий на обработку персональных данных нужно оформлять согласие на обработку персональных данных, разрешенных для распространения (действий, направленных на раскрытие персональных данных неопределенному кругу лиц). Требования к содержанию такого согласия утверждены приказом Роскомнадзора от 24.02.2021 № 18[5].
Отметим, что работник в любое время вправе отозвать свое согласие на обработку персональных данных. В таком случае оператор персональных данных обязан прекратить их обработку и если не требуется их сохранение уничтожить персональные данные в течение 30 дней со дня получения отзыва. Продолжать обработку персональных данных при получении отзыва работодатель вправе только в случаях, предусмотренных федеральными законом.
По мнению Роскомнадзора, получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя вакансии. При этом согласие не требуется в случаях:
- если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор;
- при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц;
- при обработке данных соискателей должностей государственной гражданской службы, поскольку перечень предоставляемых документов определен Федеральным законом «О государственной гражданской службе Российской Федерации»[6].
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.
Противоположный подход в указанных разъяснениях высказан по вопросу обработки персональных данных уволенных работников. В таком случае, по мнению Роскомнадзора, согласия уволенных работников на продолжение обработки их персональных данных не требуется в течение сроков, предусмотренных федеральным законодательством. Например, в соответствии со статьей 24 НК РФ установлена обязанность работодателей в течение 5 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога. Аналогичные требования установлены в Федеральном законе от 06.12.2011 № 402-ФЗ «О бухгалтерском учете». Кроме того, законодательством об архивном деле утверждены сроки хранения кадровых документов. В указанных случаях обработка не требует получения согласия на обработку персональных данных.
Также на практике работодатель осуществляет обработку персональных данных не только самого работника, но и его близких родственников работника. Она допускается в объеме, предусмотренном унифицированной формой Т-2 «Личная карточка работника» либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат). В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.
Порядок получения персональных данных работника
Согласно статье 86 ТК РФ по общему правилу все персональные данные работника следует получать у него самого.
Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках, способах получения и характеру персональных данных, а также о последствиях отказа работника дать согласие на их получение.
Хранение и использование персональных данных работников
Согласно статье 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований федерального законодательства. Работодатель обязан в локальном акте определить вопросы хранения и использования персональных данных.
На практике у работодателей возникает вопрос о праве хранить в личном деле работника копии паспортов, свидетельств о рождении детей, документов об образовании и повышении квалификации и т.п. На этот счет нет единообразной правоприменительной практики. Так, Рострудом в докладах по анализу правоприменительной практики неоднократно высказалось мнение о допустимости хранения копий документов при условии получения согласия работника. Вместе с тем, Роскомнадзор считает такое хранение обработкой персональных данных, избыточных по отношению к заявленным целям обработки. Учитывая неоднозначность мнений контролирующих органов по рассматриваемому вопросу, рекомендуем не хранить в личных делах работников документы, содержащие их персональные данные, если такая необходимость прямо не предусмотрена в нормативных документах или не получено их согласие.
Порядок передачи персональных данных работников
Передача персональных данных в пределах одной организации должна осуществляться в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись. Работодатель обязан разрешать доступ к персональным данным работников только специально уполномоченным лицам и только в то объеме, которые им необходимы для выполнения конкретных функций.
При передаче персональных данных третьим лицам необходимо соблюдать следующие правила:
- Передачу можно осуществлять только с предварительного письменного согласия работника. Исключение: когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях прямо предусмотренных федеральными законами.
- Лица, получающие персональные данные работника, должны быть предупреждены, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Кроме того работодатель вправе требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).
Меры защиты персональных данных работников
Работодатель обязан предпринимать меры, направленные на обеспечение защиты персональных данных работников. В соответствии со статьей 18.1Закона № 152-ФЗ, к таким мерам, в частности, относятся:
- Назначение лица, ответственного за организацию обработки персональных данных работников.
- Разработка комплекта документов, регламентирующих обработку персональных данных, и ознакомление с ними работников. Как правило, он включает в себя следующие: политику в отношении обработки персональных данных; положение о защите персональных данных работников, регулирующий порядок хранения, использования, обработки таких данных; приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников; согласие о неразглашении персональных данных, а также комплект документов, регламентирующих технические меры защиты информации.
- Применение организационных и технических мер по обеспечению безопасности персональных данных.
- Оценка вреда, который может быть причинен субъектам персональных данных при обработке их данных.
- Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству и локальным актам Работодателя.
Особенности обработки персональных данных в гражданско-правовых отношениях
При заключении гражданско-правового договора также могут потребоваться персональные данные лица, являющегося стороной по договору. Это может быть ФИО, должность, адрес регистрации, реквизиты документа, удостоверяющего личность, ИНН, ОГРНИП и другие.
Их обработка также должна осуществляться с соблюдением требованием Закона о персональных данных. При этом в силу пункта 5 части 1 статьи 6 ФЗ № 152-ФЗ персональные данные могут обрабатываться без получения согласия на обработку персональных данных, если обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Таким образом, если обработка персональных данных лица осуществляется в целях исполнения договора, согласие не требуется. Вместе с тем обработка в иных целях, а также поручение обработки персональных данных другому лицу или раскрытие персональных данных третьим лицам требует согласия. Например, при заключении договора на оказание услуг, персональные данные клиента будут использоваться как непосредственно для исполнения договора, так и в целях продвижения своих товаров и услуг на рынке и т.п. Для минимизации возможных рисков привлечения к ответственности рекомендуем получать согласие на обработку персональных данных лица при заключении договора.
Ответственность за нарушение обработки персональных данных работников
За нарушение законодательства при обработке персональных данных могут привлечь к административной, уголовной, гражданско-правовой, материальной и дисциплинарной ответственности. Отметим, что субъектами ответственности в некоторых случаях могут быть только физические лица, в некоторых как физические и юридические лица.
Самый распространенный вид ответственности за нарушение правил обработки персональных данных – административная. К административной ответственности могут привлечь как работодателя, так и его должностных лиц. Административная ответственность предусмотрена статьей 13.11 КоАП РФ и содержит значительное количество составов правонарушений:
- обработка персональных данных в не предусмотренных законом случаях, либо несовместимых с целями сбора персональных данных – максимальное наказание для должностных лиц – штраф до 20 000 рублей, для юридических лиц – до 100 000 рублей;
- обработка персональных данных без согласия в письменной форме субъекта персональных данных либо с нарушением требований к согласию – максимальное наказание для должностных лиц – штраф до 40 000 рублей, для юридических лиц – до 150 000 рублей;
- невыполнение обязанности по опубликованию политики по обработке персональных данных – максимальное наказание для должностных лиц – штраф до 12 000 рублей, для индивидуальных предпринимателей – до 20 000 рублей, для юридических лиц – до 60 000 рублей;
- невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных – максимальное наказание для должностных лиц – штраф до 12 000 рублей, для индивидуальных предпринимателей – до 30 000 рублей, для юридических лиц – до 80 000 рублей;
- невыполнение законного требования субъекта персональных данных об уточнении персональных данных, их блокировании или уничтожении – максимальное наказание для должностных лиц – штраф до 20 000 рублей, для индивидуальных предпринимателей – до 40 000 рублей, для юридических лиц – до 90 000 рублей;
- невыполнение при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных, если это повлекло и неправомерные действия в отношении персональных данных – максимальное наказание для должностных лиц – штраф до 20 000 рублей, для индивидуальных предпринимателей – до 40 000 рублей, для юридических лиц – до 100 000 рублей;
- невыполнение при сборе персональных данных обязанности по обеспечению действия с персональными данными с использованием баз данных, находящихся на территории Российской Федерации – максимальное наказание для должностных лиц – штраф до 200 000 рублей, для юридических лиц и ИП – до 6 000 000 рублей.
Кроме того КоАП РФ содержит нормы, устанавливающие ответственность за невыполнение требований по защите персональных данных и неисполнение обязанностей при взаимодействии с Роскомнадзором.
Что касается уголовной ответственности, то специальной нормы за нарушение правил обработки персональных данных в Уголовном кодексе РФ нет. Однако в действиях нарушителя правоохранительные органы могут усмотреть наличие состава преступления, предусмотренных:
- Частью 1 статьей 137 УК РФ «Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия». Максимальное наказание – лишением свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.
- Статьей 140 УК РФ «Неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина». Максимальное наказание – лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.
Уголовной ответственности подлежат только физические лица. Отметим, что случаи привлечения к уголовной ответственности за подобные нарушения редки.
Гражданско-правовая ответственность наступает в форме возмещения компенсации субъекту персональных данных морального вреда и возмещения убытков. В отличие от уголовного преследования требования о возмещении морального вреда за нарушения правил обработки персональных данных встречаются намного чаще. Размеры компенсации морального вреда определяет суд с учетом степени вины нарушителя и степени страданий морального вреда, однако, как правило, суды присуждают минимальные суммы.
Порядок наступления материальной и дисциплинарной ответственности определяется Трудовым кодексом РФ. За нарушение правил обработки персональных данных работодатель может понести материальную ответственность перед своими работниками в виде возмещения причиненного ущерба.
К дисциплинарной ответственности можно привлечь работника, виновного в неисполнении (ненадлежащем исполнении) своих трудовых обязанностей по обработке персональных данных (ч. 1 ст. 192 ТК РФ). Например, за разглашение персональных данных коллег или несоблюдение требований по их защите. При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только, если она стала известна им в связи с исполнением трудовых обязанностей, и они обязались не разглашать такие сведения (п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами РФ Трудового Кодекса РФ»). За совершение дисциплинарного работодатель имеет право применить дисциплинарные взыскания в виде замечания, выговора, а также увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ.
Подводя итоги, обратим внимание на необходимость неуклонного соблюдения требований действующего законодательства при работе с персональными данными сотрудников и клиентов, своевременное отслеживание изменений, происходящих в регулировании, иначе велик риск привлечения к ответственности.
_____________________
[1] Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681 «О передаче работодателем третьим лицам сведений о заработной плате работников».
[2] Разъяснение Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки».
[3] Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
[4] Решение Благовещенского городского суда Амурской области от 07.12.2022 № 2-7967/2022~М-7726/2022.
[5] Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
[6] Разъяснение Роскомнадзора от 14.12.2014 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».
5 июня 2023 г.