Олександр Михайлович Нікітін, начальник відділу по захисту прав суб'єктів персональних даних і нагляду в сфері інформаційних технологій Управління Роскомнадзора по Самарській області
Відомості про співробітника необхідні кожному роботодавцю для правильної побудови трудових відносин. Потрібно знати багато. Наприклад, чи має співробітник право на додаткові пільги і компенсації в зв'язку з особливостями сімейного стану або станом здоров'я.
У той же час порушення правил поводження з персональними даними загрожує керівництву компанії та відділу кадрів штрафами та іншими неприємностями. Про те, як організувати роботу, щоб уникнути несприятливих наслідків, ми розмовляємо з Олександром Михайловичем Нікітіним, начальником відділу по захисту прав суб'єктів персональних даних і нагляду в сфері інформаційних технологій Управління Роскомнадзора по Самарській області.
- Олександре Михайловичу, що таке персональні дані працівника? І що слід розуміти під їх обробкою?
Обробка персональних даних працівників регулюється главою 14 Трудового кодексу РФ. Вона здійснюється роботодавцем і його представниками і включає в себе отримання, зберігання, комбінування, передачу або будь-яке інше використання.
З документами роботодавця, що встановлюють порядок обробки персональних даних працівників, а також про свої права та обов'язки в цій області працівники і їх представники повинні бути ознайомлені під розпис (п. 8 ч. 1 ст. 86 ТК РФ).
- Конкретного переліку персональних даних працівників, який має право запитувати роботодавець, в законодавстві не встановлено. Чи означає це, що в принципі роботодавець може, отримавши письмову згоду працівника, запросити будь-яку інформацію і в будь-якому обсязі?
- Перелік документів, які роботодавець має право вимагати у працівника, встановлений у статті 65 Трудового кодексу РФ. До них відносяться паспорт, трудова книжка, страхове свідоцтво державного пенсійного страхування, документи військового обліку, документ про освіту, інші документи, передбачені нормативними правовими актами. Всю іншу додаткову інформацію роботодавець має право отримувати безпосередньо у працівника, а якщо будь-які дані можливо отримати лише у третьої сторони, то працівник повинен бути повідомлений про це заздалегідь і від нього має бути отримана письмова згода.
- Все-таки існують персональні дані, які роботодавець не має права отримувати та обробляти?
- Це дані про політичних, релігійних та інших переконань. Відомості про приватне життя працівника роботодавець має право отримувати тільки за його письмовою згодою (ст. 24 Конституції РФ, ст. 86 ТК РФ). Дані працівника про його членство в громадських об'єднаннях або його профспілкової діяльності роботодавець може отримувати і обробляти лише у випадках, передбачених федеральними законами. А відповідно до статті 88 Трудового кодексу РФ роботодавець не має права вимагати інформацію про стан здоров'я працівника, за винятком тих відомостей, які відносяться до питання про можливість виконання ним трудової функції.
- Скільки повинні зберігатися персональні дані працівників?
- Порядок зберігання і використання персональних даних працівників встановлюється роботодавцем (ст. 87 ТК РФ). Такий порядок може бути визначений локальним нормативним актом роботодавця, наприклад, положенням.
Згідно зі статтею 5 Закону. персональні дані фізосіб повинні зберігатися не довше, ніж цього вимагають цілі їх обробки. Потім вони знищуються.
- Чи є перелік обов'язкових процедур, які повинен провести кожен роботодавець?
- Склад і перелік заходів, необхідних і достатніх для забезпечення виконання обов'язків, передбачених Законом. організація визначає самостійно. До таких заходів відноситься призначення відповідального за організацію обробки персональних даних; видання локальних актів з питань обробки персональних даних; ознайомлення (а при необхідності навчання) працівників; проведення внутрішнього аудиту обробки персональних даних і т. д.
- Які персональні дані працівника можна передавати без його згоди?
- За загальними правилами, якщо організація-роботодавець повідомляє персональних дані працівників, в тому числі керівника, третім особам, то на це потрібна письмова згода працівника. Це встановлено статтею 88 Трудового кодексу РФ.
Виняток становлять випадки, коли це необхідно з метою попередження загрози життю і здоров'ю працівника, а також в інших випадках, передбачених Трудовим кодексом РФ або іншими федеральними законами.
Тому, скажімо, отримувати згоду працівника для передачі в Пенсійний фонд відомостей про його страховий стаж не потрібно. Так само як не потрібно згоди працівника для передачі законодавчо встановлених відомостей про нього в ФСС, в органи статистики, в податкові органи.
- Яким документом керується Роскомнадзор при проведенні перевірок щодо персональних даних?
- Скільки компаній Самарської області було перевірено за минулий рік?
- А що може стати причиною проведення позапланової перевірки?
- Як правило, надходження в Роскомнадзор скарги громадянина або юридичної особи. Згідно з пунктом 2 частини 5 статті 23 Закону. ми зобов'язані розглянути скаргу і прийняти відповідне рішення.
- Чи буде оператор повідомлений про те, хто саме і в зв'язку з чим на нього поскаржився?
- Якщо це необхідно для ідентифікації фізичної особи, ми вкажемо, від кого отримано звернення. Але якщо такої необхідності немає, то інформація про звернулася особі не передається.
Причина скарги може бути вказана, якщо це необхідно для отримання конкретної інформації від оператора.
- Так, план на поточний рік вже складений. Він розміщений і на офіційному сайті Роскомнадзора (www.), І на сайті Управління Роскомнадзора по Самарській області ().
- Роскомнадзор сповістить компанію про майбутній візит з перевіркою?
- Так. Роскомнадзор заздалегідь у письмовій формі інформує компанію про заплановану перевірку. У повідомленні зазначаються дата проведення і тривалість перевірки, а також її правове обгрунтування.
- До речі, чи проводить Роскомнадзор спільні перевірки з ФСБ і ФСТЕК? Якщо так, то яким чином розподіляються функції відомств?
- Які порушення законодавства зазвичай виявляються при перевірках?
- Найчастіше роботодавці допускають такі порушення:
-
відсутня письмова згода працівника на обробку його персональних даних; обробка персональних даних громадянина оператором (третьою особою) не забезпечує належної конфіденційності; не спрямоване повідомлення про обробку персональних даних в Роскомнадзор, або не представлена інформація за запитом Роскомнадзора; персональні дані обробляються довше, ніж цього вимагають конкретні цілі; громадянин запитує інформацію, що стосується обробки його персональних даних, а вона представляється йому несвоєчасно або не відповідає вимогам, встановленим законом.
- Чим загрожують помилки в дотриманні правил роботи з персональними даними працівників?
- Згідно зі статтею 24 Закону. особи, винні в порушенні вимог закону про персональні дані, несуть цивільну, кримінальну, адміністративну, дисциплінарну та іншу передбачену законодавством РФ відповідальність.
Зокрема, КоАП РФ передбачає досить багато штрафних санкцій. Так, порушення порядку збирання, зберігання, використання або поширення персональних даних тягне за собою попередження або штраф на громадян - від 300 до 500 рублів; на посадових осіб - від 500 до 1 000 рублів; на організації - від 5 000 до 10 000 рублів (ст. 13.11 КоАП РФ). За неподання, за несвоєчасне подання, за подання в неповному або перекрученому вигляді відомостей до держорганів передбачений штраф на громадян від 100 до 300 рублів; на посадових осіб - від 300 до 500 рублів; на юросіб - від 3 000 до 5 000 рублів (ст. 19.7 КоАП РФ).
За розголошення інформації передбачений штраф на громадян - до 500 до 1 000 руб .; на посадових осіб - від 4 000 до 5 000 рублів (ст. 13.14 КоАП). В окремих випадках розголошення персональних даних може спричинити і кримінальну відповідальність за статтею 137 Кримінального кодексу РФ. Там уже мова йде не тільки про набагато більш відчутних штрафи, а й про позбавлення права займатися певною діяльністю, і про арешт, і про виправні роботи.
- Скажіть, яким чином оцінюється шкода, який міг бути заподіяна чи була завдана працівникові? Диференційовано чи покарання в залежності від ступеня шкоди?
- Шкода, заподіяна суб'єкту персональних даних в результаті неправомірної діяльності оператора, оцінює суд. На сьогоднішній день в російському законодавстві немає диференційованого підходу до відповідальності за порушення законодавства про персональні дані.
З огляду на ці обставини, Роскомнадзор вийшов з пропозиціями про збільшення розміру штрафних санкцій до 500 тис. Рублів з обов'язковою диференціацією їх розміру в залежності від ступеня заподіяної суб'єкту шкоди.
- Давайте розглянемо кілька конкретних ситуацій. При прийомі на роботу співробітника зазвичай сканується перша сторінка його паспорта. На це потрібна письмова згода?
- Якщо потрібне отримання цифрового зображення паспорта з фотографією, то згода має бути письмовим, так як фотографія містить відомості про біометричні дані працівника.
- Компанії доводиться обробляти особисті дані претендентів (тобто осіб, з якими трудовий договір ще не укладено). Чи потрібно їй в цьому випадку повідомляти Роскомнадзор?
- Так потрібно. Вичерпний перелік випадків, в яких повідомлення не потрібно, міститься в частині 2 статті 22 Закону. Обробка персональних даних претендентів в цьому переліку безпосередньо не названа.
Це цілком логічно: здобувач в рамках відносин з працевлаштування не може розглядатися в якості працівника. Спеціальних правил, які дозволяли б застосувати до обробки персональних даних претендентів норми про обробку персональних даних працівників, законодавство не містить.
- Так, якщо напрямок таких листів не регламентовано федеральним законом.
- У багатьох компаніях прийнято вітати співробітників з Днем народження, з вступом в шлюб, з народженням дитини. Зазвичай поздоровлення розміщуються на корпоративних сайтах або на стендах. Чи потрібна брати у працівника письмову згоду на привітання?
- Так, так як роботодавець не може повідомляти персональні дані працівника третім особам без його письмової згоди (ст. 88 ТК РФ), якщо це не регламентовано іншими федеральними законами.
- І та ж ситуація, але що стосується вже не працівників, а клієнтів компанії. Щоб публічно привітати людину, потрібно запитати його згоду?
- У компанію телефонує людина і цікавиться ПІБ того чи іншого фахівця. Це відноситься до передачі персональних даних? І навпаки, якщо називають ПІБ і запитують, на якій посаді працює зазначений людина?
Як себе вести, якщо подзвонив представляється співробітником поліції, прокуратури і т. Д.?
- Так, мова йде про передачу персональних даних. Однак, якщо обробка персональних даних необхідна для здійснення правосуддя, виконання судового акта, акта іншого органу або посадової особи, що підлягають виконанню відповідно до законодавства РФ про виконавче провадження (п. 3 ч. 1 статті 6 Федерального закону № 152-ФЗ), дані можуть бути передані відповідній посадовій особі. При цьому обов'язок надати наявність підстав для передачі, зазначених в пункті 3 частини 1 статті 6 цього Закону, покладається на роботодавця.
- Чи правда, що під час перевірки Роскомнадзор стежить за поведінкою осіб, що мають доступ до персональних даних працівників? І, наприклад, відкритий комп'ютер (головбух на кілька хвилин відлучилася з кабінету) вже може стати приводом для штрафу?
- Роскомнадзор поки за цим не стежить, але думка цікава.
- Покупець заповнює анкету, в якій вказує свої персональні дані в своїй волі і в своєму інтересі. Фактично це прирівнюється до укладення договору. Оператор має право здійснювати без повідомлення уповноваженого органу з захисту прав суб'єктів персональних даних обробку персональних даних, отриманих у зв'язку з укладенням договору, стороною якого є суб'єкт персональних даних, якщо персональні дані не поширюються, а також не надаються третім особам, без згоди суб'єкта персональних даних та використовуються оператором виключно для виконання зазначеного договору (п. 2 ч. 2 статті 22 Федерального закону). Але будь-яка організація в силу інших причин обробляє персональні дані фізичних осіб не тільки в рамках договору.
- Чи існує перелік документів, які обов'язково буде затребуваний при перевірці?
- Так. Він міститься в пункті 64 Регламенту. До документів, які обов'язково повинні бути в організації, відносяться:
-
повідомлення про обробку персональних даних; письмові згоди співробітників та інших суб'єктів персональних даних на обробку відомостей про них; документи, що підтверджують знищення оператором персональних даних суб'єктів персональних даних після досягнення мети обробки; локальні акти оператора, що регламентують порядок і умови обробки персональних даних та ін.
- У яких випадках роботодавцю можна обійтися без повідомлення Роскомнадзора?
- Якщо роботодавець обробляє персональні дані виключно відповідно до трудового законодавства. Але, як показує практика, будь-який роботодавець в силу об'єктивних причин виходить за ці рамки.
- Чи можна направити повідомлення про обробку персональних даних через Інтернет?
В даний час відпрацьовуються процедури подачі повідомлення і через єдиний портал державних послуг з використанням електронного підпису.
- Дякую Вам за докладні роз'яснення.