Дисциплинарная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников

Персональные данные субъектов персональных данных обрабатываются в различных целях, в том числе и в связи с трудовыми отношениями. В таком случае работодатель является оператором, осуществляющим обработку персональных данных работника.

Защите персональных данных работника в Трудовом кодексе РФ уделено незначительное внимание - всего лишь шесть статей. Однако существуют иные нормативные правовые акты, к которым работодателю следовало бы обращаться при осуществлении обработки персональных данных работника.

Государственные органы, осуществляющие контроль и надзор за соблюдением трудового законодательства и законодательства в сфере информационных технологий, все более усиливают контроль над соблюдением работодателями законодательства по защите прав субъектов персональных данных, в связи с чем их также можно включить в число субъектов защиты персональных данных работников.

Защита персональных данных представляет собой комплекс организационных, правовых, технических и иных мероприятий по предотвращению (пресечению) любых нелегитимных (в ряде источников также - противозаконных) действий с целью несанкционированного доступа к персональным данным либо их несанкционированного, в т.ч. случайного, уничтожения, изменения, блокирования, копирования, предоставления или распространения19. Соответствующие мероприятия осуществляются органами (лицами), в установленном порядке уполномоченными производить обработку персональных данных, которые именуются в законе операторами.

Таким образом, при соответствии работодателя как субъекта защиты персональных данных указанным требованиям, то есть в случае, если им осуществляется обработка персональных данных, он является оператором персональных данных.

Рассмотрим данный признак работодателя как субъекта защиты персональных данных подробнее.

Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты – физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие организации, любым лицам, то и оно–оператор.

Статья 22 Федерального закона «О персональных данных» закрепила за операторамиобязанность до начала обработки персональныхданных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс.

Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестреоператоров персональных данных на сайте Роскомнадзора: http://www.rsoc.ru/p582/p585/ и указать цель обработки персональных данных.

Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.

Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона «О персональных данных».

В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством.

Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучениии продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.

При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачиватьзарплату работнику через банковскую карту илиоформить ему договор добровольного медицинского страхования, то такие отношения выходятза рамки трудового законодательства. В такой ситуации субъект защиты персональных данных является их оператором и ему необходимо отослать в Роскомнадзор уведомление установленного образца.

Персональные данные – это термин, используемый в европейском законодательстве, который обозначает одновременно группу правоотношений и объект защиты20. Таким образом, объектом защиты выступают сами персональные данные о понятии, содержании и видах которых было сказано выше.

В плане определения персональных данных как объекта защиты со стороны работодателя существует настоятельная необходимость в их четком установлении и детализации с тем, чтобы регламентировать возможность их обработки не иначе как с письменного согласия субъекта персональных данных и только в ряде исключительных случаев (ч. 2 ст. 10).

 

 

2.2. Порядок деятельности  работодателя по обработке персональных           данных работников

 

 

Согласно статье 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования.

Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. В противном случае, как уже было сказано, работодатель становится оператором персональных данных со всеми вытекающими из данного факта последствиями.

Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни,о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном ТК РФ и иными федеральными законами. Согласие работника не требуется при получении в рамках установленных полномочий мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации21.

В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Работники не должны отказываться от своих прав на сохранение и защиту тайны.

Кроме того, следует предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами.

Доступ к персональным данным работников разрешается лишь специально уполномоченным лицам. Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

Следует разработать ряд локальных документов, которые регулируют работу с получаемыми персональными данными и ответственность лиц, их получающих. Например:

• положение о персональных данных;
• приказы об утверждении списков лиц, имеющих доступ к персональным данным работников;
• обязательства о неразглашении персональных данных лицами, имеющими доступ к персональным данным;
• порядок хранения персональных данных22.

Работники, которые получают доступ к персональным данным для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под роспись.Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должностной инструкции каждого сотрудника, получившего доступ к персональных данным для выполнения своих служебных обязанностей.

В идеале сотрудники, осуществляющие операции с персональными данными, должны находиться отдельно от других сотрудников. В любом случае их рабочие места (или место) должны быть оборудованы сейфами для хранения соответствующих документов.

 

 

 

 

 

3. ОСОБЕННОСТИ ОТВЕТСТВЕННОСТИ  ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ  ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1 Дисциплинарная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников

 

 

Разглашение персональных данных работника - новое для трудового законодательства основание для увольнения, введенное в действие ФЗ от 30 июня 2006 г. Помимо Трудового кодекса, отношения по использованию персональных данных работника регулируются ФЗ от 27 июля 2006 г. "О персональных данных", а также ФЗ от 27 июля 2006 г. "Об информации, информационных технологиях и защите информации".

Трудовым законодательством на работодателя накладывается обязанность соблюдать меры по защите персональных данных работника (ст. 86 ТК). Доступ к персональным данным работника разрешен только специально уполномоченным лицам работодателя (работникам отдела кадров, бухгалтерии и др.). Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. Их действия по разглашению персональных данных работника можно считать аморальным проступком.

Законодатель не ставит расторжение трудового договора с лицом, разгласившим персональные данные работника, в зависимость от наступления неблагоприятных последствий для работника. Достаточно самого факта разглашения персональных данных работника23.

Так, Московский областной суд в своем определении установил, что работодателем была выявлена периодическая рассылка работником, занимавшим должность начальника отдела по работе с персоналом, писем, содержащих персональные данные работников компании на почтовый адрес с размещением информации на сервере mail.ru. Дав правовую оценку фактическим обстоятельствам дела в совокупности с представленными сторонами в обоснование своих доводов и возражений доказательствами, суд пришел к выводу о том, что размещенная в результате неправомерных действий работника информация, содержащая персональные данные работников компании, стала доступна третьему лицу - обществу с ограниченной ответственностью "Мэйл.Ру", в связи с чем дисциплинарное взыскание в виде увольнения по подп. "в" п. 6 ч. 1 ст. 81 ТК было применено к работнику правомерно24.

Однако, возникает вопрос об ответственности работодателя за разглашение специалистом отдела кадров персональных данных работников. В связи с этим отметим, что за разглашение работником отдела кадров персональных данных других работников работодатель может быть привлечен к административной ответственности по ст. 13.11 Кодекса РФ об административных правонарушениях25, в случае если будет доказана его вина. Также на работодателя может быть возложена обязанность возмещения морального и материального вреда работникам, чьи персональные данные распространены, что будет рассмотрено в следующем разделе настоящего исследования.

Рассмотрим и обоснуем высказанную позицию

Из п. 7 ст. 86 Трудового кодекса РФ следует, что защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств.