Персональные данные работников

Работа с персональными данными – наиважнейший вопрос, которому российские компании уделяют незаслуженно мало внимания. Возможно, из-за отсутствия информации и, как следствие, непонимания своей ответственности и неосознания рисков. Но, как известно, незнание закона не освобождает от ответственности, поэтому очень важно понимать и осознавать важность конфиденциальности персональных данных работников  организации или индивидуального предпринимателя. 

Комплект документов необходимых для обработки персональных данных работников включает в себя: 

А. Основные документы по персональным данным: 

  1. Политика в отношении обработки персональных данных.
  2. Положение об обработке персональных данных.
  3. Приказ о назначении ответственных лиц.
  4. Инструкция ответственного за организацию обработки персональных данных.
  5. Инструкция ответственного обеспечение безопасности персональных данных.

        Б. Документы по обработке персональных данных без использования средств автоматизации: 

        1. Положение об обработке данных без использования средств автоматизации

        В. Документы по персональным данным работников: 

        1. Положение о ведении личных дел работников.
        2. Соглашение о неразглашении информации
        3. Согласие на обработку персональных данных

        Г. Документы для оформления процедур обработки персональных данных: 

        1. Приказ о допуске к обработке данных
        2. Приказ об утверждении перечня данных
        3. Приказ об утверждении перечня информационных систем
        4. Акт определения уровня защищенности данных
        5. Акт оценки потенциального вреда субъектам
        6. Журнал регистрации нарушения и восстановления
        7. Журнал учета проверок государственными органами
        8. Журнал учета средств защиты
        9. Журнал учета передачи персональных данных
        10. Журнал регистрации фактов нарушения и восстановления работоспособности оборудования или ИСПДн
        11. Журнал учета съемных носителей персональных данных
        12. Журнал учета прав доступа
        13. Инструкция по антивирусной защите
        14. Инструкция по резервному копированию и восстановлению
        15. Инструкция по учету и хранению съемных носителей
        16. Инструкция по учету лиц, допущенных к обработке
        17. Инструкция пользователя информационной системы
        18. Инструкция пользователя при нештатной ситуации
        19. Приказ об утверждении перечня помещений
        20. Положение о порядке доступа в помещения
        21. Приказ об определении границ контролируемой зоны

        Д. Документы для оформления уничтожения и обезличивания информации, содержащей персональные данные: 

        1. Инструкция по порядку уничтожения и обезличивания персональных данных
        2. Приказ о создании комиссии по уничтожению персональных данных
        3. Акт об уничтожении персональных данных

        Е. Документы по обучению сотрудников: 

        1. Инструкция по проведению инструктажа
        2. Журнал учета прохождения первичного инструктажа работниками допущенными к работе с ПДн в ИСПДн

        Ж. Документы по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных: 

        1. Инструкция по проведению внутреннего контроля
        2. Акт контроля соответствия обработки персональных данных
        3. План проведения периодического внутреннего контроля условий обработки персональных данных в ИСПДн

        З. Документы по обработке поступающих обращений субъектов персональных данных: 

        1. Инструкция по рассмотрению запросов субъектов персональных данных
        2. Журнал учета обращений субъектов персональных данных и их законных представителей
        3. Сводная таблица действий Оператора в ответ на обращения субъектов персональных данных, их представителей и запросы Уполномоченного органа по защите прав субъектов персональных данных
        4. Форма уведомления органа по защите прав субъектов персональных данных
        5. Форма уведомления субъекта об отказе внесения изменений в персональные данные субъекта
        6. Форма уведомления субъекта об устранении неправомерных действий с его персональными данными
        7. Форма запроса субъекта персональных данных с  отзывом согласия на обработку персональных данных
        8. Форма запроса субъекта персональных данных а блокирование персональных данных
        9. Форма запроса субъекта персональных данных на уничтожение персональных данных
        10. Форма запроса субъекта персональных данных на уточнение персональных данных
        11. Форма запроса субъекта персональных данных о наличии и ознакомлении с персональными данными
        12. Форма отзыва согласия на обработку персональных данных 

        За несоблюдение работодателем требований законодательства о персональных данных установлена административная ответственность статьей 13.11 Кодекса об административных правонарушениях в виде штрафа до 70000 рублей. Заказав у нас документы Вы экономите на штрафах десятки тысяч рублей.

        Обработка персональных данных работников

        Персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (абз. 1 ст. 85 Трудового кодекса РФ). Но при этом, в Трудовом кодексе РФ не уточняется, какая именно информация о работнике требуется работодателю. Исходя из этого можно сделать вывод, что работодатель имеет право затребовать от работника только ту информацию, которая характеризует последнего именно как сторону трудового договора, а не как личность. Следовательно, работодатель не может требовать от работника предоставления персональных сведений, которые не связаны с осуществлением его трудовой деятельности в конкретной организации.

        К персональным данным работника может относится следующая информация: 

        • фамилия, имя, отчество;
        • пол, возраст;
        • физиологические особенности человека;
        • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
        • состояние здоровья и сексуальная ориентация;
        • принадлежность лица к конкретной нации, этнической группе, расе;
        • место жительства;
        • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
        • семейное положение, наличие детей, родственные связи;
        • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
        • религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в т.ч. в профсоюзе, и др.);
        • финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
        • деловые и иные личные качества, которые носят оценочный характер;
        • прочие сведения, которые могут идентифицировать человека.

        Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.

        Документы в которых могут содержаться персональные данные работников:

        • анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу.
        • копия документа, удостоверяющего личность работника.
        • личная карточка №Т-2.
        • трудовая книжка или ее копия.
        • копии свидетельств о заключении брака, рождении детей.
        • документы воинского учета.
        • справка о доходах с предыдущего места работы.
        • документы об образовании.
        • документы обязательного пенсионного страхования.
        • подлинники и копии приказов по личному составу.
        • иные документы, содержащие персональные данные работников.

        Вместе с тем Трудовой кодекс России предусматривает некоторые ограничения. Так, работодатель не вправе запрашивать у работника следующую информацию:

        • о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции (ст. 88 ТК РФ),
        • о политических, религиозных и иных убеждениях работника и о его частной жизни (п. 4 ст. 86 ТК РФ),
        • о членстве работника в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами (п. 5 ст. 86 ТК РФ)

        Кроме этого, работодатель не вправе сообщать персональные данные работника без его письменного согласия третьей стороне, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ) и в коммерческих целях (абз. 3 ст. 88 ТК РФ).

        Обработка персональных данных работников - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона «О персональных данных»).

        Получение согласия работника на обработку его персональных данных

        (в соответствии с изменениями, внесенными Федеральным законом от 25.07.2011 г. №261-ФЗ)

        Согласия субъекта на обработку его персональных данных не требуется, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. (п. 5 ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных).

        Поскольку работник является стороной трудового договора, то письменное согласие на получение его персональных данных не нужно. 

        Организация учета и хранения персональных данных работников 

        В целях надлежащего исполнения Федерального закона «О персональных данных» и требований Трудового кодекса России работодателю необходимо разработать и утвердить целый пакет документов направленных на защиту персональных данных работников.

        Данный пакет документов состоит из двух групп:  обязательные документы и факультативные документы.

        Так, к обязательным документам относится положение о персональных данных (п. 8 ст. 86, ст. 87 ТК РФ). Положение о персональных данных может состоять из следующих частей:

        • общие положения: цели и задачи принятия положения и вопросы, которые оно регулирует;
        • состав персональных данных работников;
        • обработка персональных данных;
        • передача персональных данных;
        • доступ к персональным данным;
        • ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

        Отсутствие положения квалифицируется как нарушение трудового законодательства по ст. 5.27 КоАП РФ (см. например, постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06).

        Обратите внимание, что законом не предусмотрена обязанность работника своевременно уведомлять работодателя об изменении своих персональных данных. Однако несвоевременное предоставление работником измененных данных может повлиять на исполнение работодателем своих обязанностей.

        В связи с тем, что своевременное предоставление изменившихся персональных данных избавит работодателя от многих проблем, следует прописать в Положении о персональных данных обязанность работника ставить работодателя в известность о таких изменениях в конкретный срок.

        Следующий обязательный документ - лист ознакомления работников с Положением о персональных данных под роспись (п. 8 ст. 86, абз. 5 ст. 88 ТК РФ) или журнал ознакомления работников с локальными нормативными актами организации.

        Приказ «Об установлении списка лиц, имеющих доступ к персональным данным работников организации» (в т.ч. о допуске конкретных лиц к информационной системе, в которой происходит обработка персональных данных работников).

        Обязательство о неразглашении персональных данных лицами имеющих доступ к персональным данным работников организации.

        Журнал учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам: 1. журнал учета выдачи персональных данных работников внутренним пользователям. 2. Журнал учета выдачи персональных данных работников внешним пользователям

        К факультативным документам относятся следующие документы: согласие работника на получение работодателем персональных данных от третьих лиц и согласие работника на передачу и обработку его персональных данных третьими лицами. 

        Получение согласия работника на передачу его персональных данных третьим лицам 

        Рассмотрим порядок размещения персональных данных работников в сети Интернет. Вопреки требованиям ст. 7 Закона о персональных данных без согласия субъектов персональных данных на некоторых интернет-сайтах неограниченному кругу лиц предоставлялся доступ к персональным данным работников (фамилии, имена, отчества, даты рождения).

        Следует обратить Ваше внимание, что в некоторых случаях действующее законодательство России обязывает работодателя размещать информацию о своих работниках на официальном сайте организации. Как это например предусмотрено для медицинских организаций.

        Пример: Медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети «Интернет», о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации (пп. 7 п. 1 ст. 79 Федерального закона от 21.11.2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»).

        Операторы (в т.ч. работодатели) и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных (ст. 7 Федерального закона РФ от 27 июля 2006 г. №152-ФЗ «О персональных данных»).

        Использование работодателем средств аудиовизуального контроля за работниками 

        В действующем российском законодательстве нет самостоятельного нормативного акта, регулирующего деятельность по организации и осуществлению видеонаблюдения и прослушивания служебных телефонов.

        Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

        Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. (ст. 23 Конституции РФ).

        Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ч. 1 ст. 24 Конституции РФ).

        "Прослушивание телефонов" законом запрещено, так как нарушает тайну телефонных переговоров. Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (ст. 55 Конституции РФ).

        Таким образом, это допустимо, только если речь идет о жизни и безопасности граждан. Например, в службах экстренной помощи, при переговорах авиадиспетчеров с экипажами воздушных судов.

        Однако прослушивание служебных телефонов не исключается, если речь идет об организациях, оказывающих услуги. При этом, возможность записи разговоров клиентов с операторами должна быть предусмотрена локальными нормативными актами.

        Использование работодателем средств аудиовизуального контроля (системы видеонаблюдения) за работниками предполагает запись полученного изображения и его хранение для последующего использования.

        Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина (ст. 152.1 Гражданского кодекса РФ).

        Видеонаблюдение за работниками может осуществляться следующими лицами: частным охранным предприятием, правоохранительными органами, самостоятельно работодателем.

        В первом случае, если работодатель поручает ведение видеонаблюдения частному охранному предприятию (ЧОП) то в этом случае следует руководствоваться Законом «О частной детективной и охранной деятельности в Российской Федерации

        В соответствии с которым «В случае оказания охранных услуг с использованием видеонаблюдения, а также оказания охранных услуг в виде обеспечения внутриобъектового и (или) пропускного режимов персонал и посетители объекта охраны должны быть проинформированы об этом посредством размещения соответствующей информации в местах, обеспечивающих гарантированную видимость в дневное и ночное время, до входа на охраняемую территорию».

        Скрытое видеонаблюдение за работниками вправе осуществлять исключительно правоохранительные органы на основании Федерального закона «Об оперативно-розыскной деятельности». Запрещается проведение оперативно-розыскных мероприятий и использование специальных и иных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, не уполномоченными на то настоящим Федеральным законом физическими и юридическими лицами (ч. 6 ст. 6 Федерального закона от 12.08.1995 №144-ФЗ «Об оперативно-розыскной деятельности»).

        Ведение видеонаблюдения работодателем самостоятельно без предупреждения об этом работников грозит тем, что данные видео материалы будут признаны судом недопустимыми.

        Так, доказательства, полученные с нарушением закона, не имеют юридической силы и не могут быть положены в основу решения суда (ч. 2 ст. 55 Гражданского процессуального кодекса РФ).

        Работник имеет право на полную информацию об условиях и охране труда на рабочем месте (ст. 21 ТК РФ).

        Данная норма касается и видеонаблюдения на рабочем месте. Соответственно работник должен быть поставлен в известность о наличии в организации камер видеонаблюдения с момента начала работы или с момента их установки.

        Таким образом, проблемы доказывания напрямую могут быть связаны с незаконностью видеонаблюдения. Доказательства, используемые в суде, в соответствии со ст. 60 ГПК РФ, должны обладать свойством допустимости. Полученные же с нарушением закона (видеонаблюдение без информирования об этом лица, в отношении которого производился сбор информации) доказательства, согласно ч. 2 ст. 55 ГПК РФ, не имеют юридической силы и не могут быть положены в основу решения суда, в том числе по делам о трудовых спорах. Например, съемка сотрудника с помощью скрытой видеокамеры, послужившая основанием для его наказания (или увольнения), будет незаконной, а следовательно, по этой причине может быть успешно оспорена работником в суде.

         Видеонаблюдение за работниками в местах общего доступа 

        Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи, в которых он изображен) допускаются только с согласия этого гражданина.

        Такое согласие не требуется в случаях, когда изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования (ст. 152.1 Гражданского кодекса РФ).

        Таким образом, можно заключить, что если видеонаблюдение осуществляется в таких местах, как, например, общие коридоры, холлы, торговые залы, гостевые парковки, у граждан не возникает права на запрет получения своего изображения, как это предусмотрено положениями ст. 152.1 Гражданского кодекса РФ. 

        Видеонаблюдение за работниками в помещениях с ограниченным доступом 

        Если система видеонаблюдения позволяет отслеживать деятельность сотрудников на рабочем месте или иных помещениях, закрытых для общего доступа, такое наблюдение считается обработкой персональных данных.

        Согласно п. 1 ст. 3 Закона "О персональных данных" под персональными данными понимается любая информация, позволяющая прямо или косвенно идентифицировать конкретное лицо. Статья 85 Трудового кодекса РФ под обработкой персональных данных понимает их получение, хранение, комбинирование или передачу или любое иное использование персональных данных работника.

        Таким образом, при осуществлении видеонаблюдения за объектами, имеющими режим ограниченного доступа, работодателю необходимо руководствоваться не только соображениями обеспечения законности получения доказательств, но и дополнительно соблюдать ограничения, связанные с регулированием процесса обработки персональных данных. В данном случае, предполагая, что круг лиц, имеющих доступ в помещение, где осуществляется видеонаблюдение, ограничен, то есть заранее определен, справедливо будет сделать вывод, что видеонаблюдение имеет своей целью только строго установленный круг лиц. Следовательно, осуществление такого видеонаблюдения изначально будет рассматриваться как получение и обработка персональных данных.

        В отсутствие иных нарушений запись, полученную с соблюдением законодательства о персональных данных, можно использовать в качестве доказательства. Исключение, пожалуй, составляют лишь случаи несанкционированного проникновения в помещения, имеющие режим ограниченного доступа. Представляется, что для таких случаев полного соблюдения требований, установленных законодательством о персональных данных, достаточно уведомления Роскомнадзора об эксплуатации системы видеонаблюдения за таким помещением.

        Резюмируя вышесказанное, можно сформулировать краткие выводы.

        1. Данные, полученные с помощью видеонаблюдения, могут быть использованы только в целях, в которых они установлены. Например, 1. Цель - обеспечение общественной безопасности (аэропорты, крупные торговые центры, ювелирные салоны, банки). 2. Цель - контроль за качеством обслуживания клиентов. 3. Цель - обеспечение безопасности работников и сохранности материальных ценностей. 4. Цель - контроль за рабочим временем сотрудников. В этом случае порядок и основания лишения премии или снижения ее размера должны быть предусмотрены в локальном нормативном акте и доведены до сведения работников под подпись. 5. Цель - предупреждение недобросовестного исполнения работником служебных обязанностей.

        2. Основания и цели видеонаблюдения не должны нарушать конституционное право граждан на защиту частной жизни. Поэтому установка видеонаблюдения в туалетных комнатах, кабинках для переодевания изначально нарушает вышеуказанное право граждан, а значит, будет признана незаконной. Даже если целью является борьба с кражами личного имущества персонала.

        3. Проблемы доказывания напрямую связаны с законностью видеонаблюдения. Доказательства, используемые в суде, в соответствии со ст. 60 ГПК РФ, должны обладать свойством допустимости. Полученные же с нарушением закона (видеонаблюдение без информирования об этом лица, в отношении которого производился сбор информации) доказательства, согласно ч. 2 ст. 55 ГПК РФ, не имеют юридической силы и не могут быть положены в основу решения суда, в том числе по делам о трудовых спорах. Например, съемка сотрудника с помощью скрытой видеокамеры, послужившая основанием для его наказания (или увольнения), будет незаконной, а следовательно, по этой причине может быть успешно оспорена работником в суде.

        4. Прежде чемустановить в офисе видеонаблюдение и прослушивание телефонов, нужно закрепить это в локальном нормативном акте организации (в том же положении о персональных данных), ознакомив с ним под роспись всех сотрудников.В таком локальном акте надо указать цель и основание использования систем контроля.

        Кроме того, должны быть размещены таблички (объявления), предупреждающие о ведении видеонаблюдения.

        Если на предприятии впервые вводится система видеонаблюдения, потребуется внесение соответствующих изменений в положение о персональных данных. Указанное справедливо и в случае осуществления видеонаблюдения силами частной охранной организации.

        В заключение следует основной вывод о том, что даже самая маленькая организация обязана принять меры по обеспечению защиты персональных данных работников.