В Законе о персональных данных персональные данные работника определяются как любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Применительно к трудовым отношениям персональные данные определяются как информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 Трудового кодекса РФ). Однако подобные определения несколько размыты и не способствуют четкому пониманию смысла и содержания законодательных норм, позволяя трактовать в качестве персональных данных практически любую информацию.
В настоящее время вопрос о защите персональных данных становится все острее. Внимание государства к этой проблеме очевидно: сформирована нормативная база, определена ответственность, контролирующие органы получили соответствующие полномочия, растет количество проверок. Несмотря на изменения, внесенные в Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) 25 июля 2011 года и распространяющие свое действие на отношения, возникшие после 1 июля 2011 года, многие компании, обрабатывающие персональные данные, до конца не понимают реальность и масштаб рисков невыполнения закона. Вероятно, это связано со сложностью в понимании законодательных определений, порядка обработки персональных данных, их защиты и привлечения виновных лиц к ответственности.
Учитывая, что разъяснения каких-либо контролирующих органов на этот счет отсутствуют, целесообразно руководствоваться той информацией, которую работодатель включает в уведомление об обработке персональных данных, направляемое в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор).
Закон о персональных данных различает:
- общедоступные персональные данные;
- биометрические персональные данные;
- персональные данные специальной категории.
К разряду общедоступных персональных данных могут быть отнесены: фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии субъекта персональных данных. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.
Биометрические данные характеризуют физиологические особенности человека; на их основе можно установить его личность.
Персональные данные специальной категории включают в свой состав данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни лица.
Закон о персональных данных возлагает на работодателя следующие обязанности:
во-первых, работодатель обязан произвести классификацию своих информационных систем персональных данных, определить какие категории персональных данных обрабатываются, вид обработки персональных данных, какой класс защиты информации требуется. Классификация проводится в соответствии с требованиями совместного Приказа ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года №55/86/20.
во-вторых, работодатель должен направить в Роскомнадзор уведомление об обработке персональных данных. Вместе с тем, Закон содержит исчерпывающий перечень случаев обработки персональных данных, когда оператор вправе такое уведомление не направлять. В частности, если работодатель осуществляет обработку персональных данных только в соответствии с трудовым законодательством, то он вправе не направлять уведомление в Роскомнадзор. Однако к подобному исключению следует относиться осторожно, поскольку бывают случаи, когда работник, например, отчисляет алименты, и эти алименты из заработной платы работника осуществляет именно работодатель. В этом случае работодатель обрабатывает персональные данные получателей алиментов (детей, супругов, родителей работника), и причислить такую обработку к трудовым отношениям весьма сложно.
в-третьих, работодатель должен получить согласие работника на обработку его персональных данных. В соответствии с Федеральным законом от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» (далее — Закон о внесении изменений в Закон о персональных данных), с 1 июля 2011 г. такое согласие может быть получено как в письменном виде на бумажном носителе, так и в виде электронного документа, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи.
в-четвертых, работодатель обязан принимать необходимые организационные и технические меры по обеспечению безопасности персональных данных. В частности, он обязан:
-
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника;
-
предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
-
осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
-
разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
-
не запрашивать информацию о политических, религиозных и иных убеждениях работника и о частной жизни и о состоянии здоровья, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
-
передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;
-
в случае выявления недостоверных персональных данных или неправомерных действий с ними при обращении или по запросу работника или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных работодатель обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения или получения такого запроса на период проверки;
-
в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления устранить допущенные нарушения, а если это сделать невозможно - уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий;
-
прекратить обработку персональных данных и уничтожить их в срок, не превышающий трех рабочих дней в случае достижения цели обработки персональных данных, а также в случае отзыва работником согласия на обработку своих персональных данных.
В соответствии с Законом о персональных данных в процесс защиты персональных данных вовлечены три органа государственной власти: Федеральная служба безопасности (далее - ФСБ), Федеральная служба по техническому и экспортному контролю (далее - ФСТЭК) и Роскомнадзор. ФСБ курирует вопросы защиты информации с использованием средств шифрования (криптографии). ФСТЭК осуществляет контроль защиты информации с применением технических средств.
Однако уполномоченным органом по защите прав физических лиц, чьи персональные данные обрабатываются, является Роскомнадзор. На него непосредственно возлагаются функции контроля и надзора за соответствием обработки персональных данных требованиям законодательства. Данный орган вправе привлекать работодателя к административной ответственности за нарушение положений Закона о персональных данных, в том числе за нарушение порядка обработки персональных данных, за невыполнение обязанностей оператора в случае выявления неправомерного использования такой информации.
Также этот орган вправе направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.
Таким образом, если работодатель каким-либо образом нарушает ваши права как субъекта персональных данных, либо не исполняет свои обязанности как оператора, вы можете обратиться с жалобой в Роскомнадзор, государственную инспекцию труда или прокуратуру.
В соответствии с Законом о персональных данных лица, виновные в нарушении норм законодательства в области обработки персональных данных несут уголовную, административную, гражданскую, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Алена Шевченко, юрист Labour Legislation group LLC
18.06.2012
