Главная страница >> Юридические статьи >> О защите персональных данных работников

О защите персональных данных работников


Перед вами отрывок отчета о семинаре "Трудовой договор: от номера до подписи" (лектор Журавлева И.В. - консультант по кадровому учету и трудовым спорам, научный редактор журнала "Кадровые решения", автор и преподаватель курса повышения квалификации "Школа кадровика"). Опубликовано в издании "Главная книга.Конференц-зал" 2012, № 10.

О защите личных данных, в первую очередь, сообщается в главе 14 ТК, а так же, им приурочен к Закон N 152-ФЗ "О личных данных". Личные данные работника - это касающаяся конкретного работника информация, которая нужна работодателю по вопросу, связанным с трудовыми отношениями. Понятие "обработка личных данных" имеет в своем составе полный комплекс действий с такими данными: их сбор, систематизацию, накопление, хранение, использование, распространение и т.д.. А оператор личных данных - это лицо, которое обрабатывает эти данные. Как только в управлении работодателя оказываются данные на любого из его сотрудников, а они содержатся, например, в кадровой и бухгалтерской документации, он становится оператором личных данных и обязан обеспечить их защиту.

При этом часть 1 статьи 22 Закона N 152-ФЗ настоятельно просит, для того, чтобы оператор личных данных до начала их обработки по общему правилу уведомил о таком уполномоченный орган. А именно Федеральную службу по надзору в области связи, информационных технологий и массовых коммуникаций, сокращенно - Роскомнадзор. На основании этого уведомления Роскомнадзор зарегистрирует организацию в реестре операторов, впоследствии у нее есть возможность работать с личными данными на законных основаниях. Тем не менее, операторами работодатели являются вне зависимости от включения в этот реестр.

Итак, повторю, это было общее правило. А часть 2 статьи 22 Закона N 152-ФЗ устанавливает специальную норму, в соответствии которой в определенных случаях оператор имеет право воплотить в жизнь обработку личных данных без уведомления Роскомнадзора. Напомню, что специальные нормы имеют приоритет перед общепризнанными мерками общими.

В каких именно случаях такое вполне вероятно? 1-я ситуация рассмотрена в пункте 1 части 2 статьи 22 Закона: без уведомления Роскомнадзора мы обрабатываем личные данные для выполнения своих прямых обязанностей в виде стороны трудового договора согласно с трудовым законодательством. Из этого можно сделать вывод следующее. Не следует уведомлять Роскомнадзор про то, что мы вносим личные данные в трудовой договор, персональную карточку работника и другую кадровую документацию. Кроме того, что тогда не следует отсылать уведомление в Роскомнадзор, также вовсе не обязательно и получать согласие работника на обработку всех полученных данных.

А вот 2-я ситуация, о которой сообщается в пункте 2 части 2 статьи 22 Закона, захватывающая. Там написано, что можно не уведомлять Роскомнадзор об обработке личных данных, которые, в первую очередь, получены оператором по вопросу, связанным с заключением договора, стороной которого является субъект личных данных. Раз мы обрабатываем личные данные работника, с которым заключен трудовой договор, так вот, это условие соблюдается. Но далеко не все.

Во-вторых, личные данные не должны распространяться. Но работодатель и вовсе не занимается их распространением - он их только предоставляет туда, куда настоятельно просит закон. Чем распространение данных отличается от их предоставления? Предоставление личных данных осуществляется всегда определенному лицу либо кругу лиц. А распространение - есть та же передача, но уже неопределенному кругу лиц. Как говориться, в белый свет как в копеечку. Вот если мы у входа в офис на дверях повесим объявление, в котором написано, что здесь работает Иванов Иван Иванович, и читайте, кто хотите, то это - распространение личных данных. Но такого, в большинстве случаев, не бывает. Стоит отметить, случается, что на веб-сайте компании указывают фамилию и имя контактного лица - это есть уже распространение в чистом виде, и такая корпорация, вне всякого сомнения, обязана уведомлять Роскомнадзор о себе как об операторе.

В-третьих, личные данные не должны предоставляться третьим лицам без согласия субъекта личных данных. В следствии этого мы обязательно берем с сотрудников расписку (или заявление) о согласии на обработку всех полученных данных, если планируем передавать их третьим лицам. Помимо случаев, когда такая обработка обусловлена требованиями законодательства: при передаче сведений в составе отчетности в налоговую, внебюджетные фонды, военкомат и тому подобное, другими словами когда информировать соответствующие органы нас обязывает закон.

Как видите, с первыми тремя условиями все вполне достаточно просто - они у нас обычно соблюдаются, как говориться, как таковой. А вот 4-е условие посложнее: личные данные должны использоваться оператором только лишь для исполнения договора, заключенного с субъектом личных данных. Применительно к нам это трудовой договор, а субъект личных данных - работник.

В чем здесь сложность? А нет никаких сомнений в том, что мы обрабатываем личные данные работника не только лишь по вопросу, связанным с исполнением трудового договора. Трудовым законодательством не предусмотрено обязательное оформление работодателем работнику банковской карточки для выплаты зарплаты через банк. Также не предусмотрены трудовым законодательством и оформление полиса ДМС, абонемента в фитнес-клуб, заказ в мастерской услуг по изготовлению визиток работника. Значит, ежели работодатель это делает, было бы неправильным считать, что все это происходит в масштабах исполнения трудового договора. Помимо всего этого, отправляя человека в командировку, мы довольно часто сами заказываем ему билеты и комнату в отеле. Таким образом, личные данные передаются в кассу РЖД, авиакассу или транспортное агентство, гостиницу в месте командирования. И эти все действия тоже происходят, как вы понимаете, за рамками трудового договора.

Следовательно, при наличии этих всех и подобных им ситуаций мы обязаны уведомлять Роскомнадзор. Или их нужно как-то связать с исполнением трудового договора. Кроме того не очень нужно это все расписывать в самом договоре - вполне достаточно включить в него условие, отсылающее к регулирующим этот вопрос локальным нормативным актам организации. В частности, мы в трудовом договоре напишем, что командировки оформляются согласно с нашим положением о командировках. А в положении о командировках у нас сказано, что работодатель сам заказывает для командированных билеты и гостиницу, при загранкомандировках берет на себя заботы по оформлению визы, для чего в соответствующие организации передаются необходимые личные данные работника. Вот тогда уже уже можно сказать, что мы это все делаем только лишь для исполнения трудового договора. Ну и, понятное дело, на эти варианты передачи личных данных наверное получено согласие работника.

Поэтому я рекомендую при разработке типового трудового договора продумать, как лучше прописать внутри него условия, которые касаются случаев обработки личных данных работника, когда эти случаи прямо не предусмотрены трудовым законодательством или договором. В противном случае надо будет уведомить Роскомнадзор о работодателе как об операторе личных данных. Хоть и в данном ничего такого ужасного я не вижу, просто каждый делает выбор более удобный для него способ действий. А вот если как говорится ничего не предпринять, то в случае проверки территориальный орган Роскомнадзора может вас оштрафовать за нарушение Закона, и серьезно.

Впервые опубликовано в издании "Главная книга.Конференцзал" 2012, № 10



Читайте так же:
Если бы это произошло у нас, какая была бы ответственность?
Найден общий знаменатель в отношениях поставщиков с ритейлерами
Правоприменительные аспекты рассмотрения дел, связанных с переселением граждан из районов Крайнего Севера и приравненных к ним местностей