Трудовое право

О защите персональных данных работников

Перед вами отрывок отчета о семинаре "Трудовой договор: от номера до подписи" (лектор Журавлева И.В. - консультант по кадровому учету и трудовым спорам, научный редактор журнала "Кадровые решения", автор и преподаватель курса повышения квалификации "Школа кадровика").

Перед вами отрывок отчета о семинаре "Трудовой договор: от номера до подписи" (лектор Журавлева И.В. - консультант по кадровому учету и трудовым спорам, научный редактор журнала "Кадровые решения", автор и преподаватель курса повышения квалификации "Школа кадровика"). Опубликовано в издании "Главная книга.Конференц-зал" 2012, № 10.

О защите персональных данных, во-первых, говорится в главе 14 ТК, а во-вторых, им посвящен Закон N 152-ФЗ "О персональных данных". Персональные данные работника - это касающаяся конкретного работника информация, которая нужна работодателю в связи с трудовыми отношениями. Понятие "обработка персональных данных" включает в себя весь спектр действий с такими данными: их сбор, систематизацию, накопление, хранение, использование, распространение и так далее. А оператор персональных данных - это лицо, которое обрабатывает эти данные. Как только в распоряжении работодателя оказываются данные на любого из его работников, а они содержатся, в частности, в кадровой и бухгалтерской документации, он становится оператором персональных данных и обязан обеспечить их защиту.

При этом часть 1 статьи 22 Закона N 152-ФЗ требует, чтобы оператор персональных данных до начала их обработки по общему правилу уведомил об этом уполномоченный орган. А именно Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций, сокращенно - Роскомнадзор. На основании этого уведомления Роскомнадзор зарегистрирует организацию в реестре операторов, после чего она может работать с персональными данными на законных основаниях. Впрочем, операторами работодатели являются независимо от включения в этот реестр.

Итак, повторю, это было общее правило. А часть 2 статьи 22 Закона N 152-ФЗ устанавливает специальную норму, согласно которой в определенных случаях оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора. Напомню, что специальные нормы имеют приоритет перед нормами общими.

В каких именно случаях такое возможно? Первая ситуация рассмотрена в пункте 1 части 2 статьи 22 Закона: без уведомления Роскомнадзора мы обрабатываем персональные данные для выполнения своих обязанностей в качестве стороны трудового договора в соответствии с трудовым законодательством. Это означает следующее. Не надо уведомлять Роскомнадзор о том, что мы вносим персональные данные в трудовой договор, личную карточку работника и другую кадровую документацию. Помимо того, что в этом случае не надо отсылать уведомление в Роскомнадзор, также не нужно и получать согласие работника на обработку данных.

А вот вторая ситуация, о которой говорится в пункте 2 части 2 статьи 22 Закона, очень интересная. Там написано, что можно не уведомлять Роскомнадзор об обработке персональных данных, которые, во-первых, получены оператором в связи с заключением договора, стороной которого является субъект персональных данных. Раз мы обрабатываем персональные данные работника, с которым заключен трудовой договор, значит, это условие соблюдается. Но это еще не все.

Во-вторых, персональные данные не должны распространяться. Но работодатель и не занимается их распространением - он их только предоставляет туда, куда требует закон. Чем распространение данных отличается от их предоставления? Предоставление персональных данных осуществляется всегда определенному лицу или кругу лиц. А распространение - это та же передача, но уже неопределенному кругу лиц. Что называется, в белый свет как в копеечку. Вот если мы у входа в офис на дверях повесим объявление, в котором написано, что здесь работает Иванов Иван Иванович, и читайте, кто хотите, то это - распространение персональных данных. Но такого, как правило, не бывает. Правда, случается, что на сайте компании указывают фамилию и имя контактного лица - вот это уже распространение в чистом виде, и такая компания, безусловно, обязана уведомлять Роскомнадзор о себе как об операторе.

В-третьих, персональные данные не должны предоставляться третьим лицам без согласия субъекта персональных данных. Поэтому мы обязательно берем с работников расписку (либо заявление) о согласии на обработку данных, если планируем передавать их третьим лицам. Кроме случаев, когда такая обработка обусловлена требованиями законодательства: при передаче сведений в составе отчетности в налоговую, внебюджетные фонды, военкомат и тому подобное, то есть когда информировать соответствующие органы нас обязывает закон.

Как видите, с первыми тремя условиями все достаточно просто - они у нас обычно соблюдаются, что называется, по определению. А вот четвертое условие посложнее: персональные данные должны использоваться оператором исключительно для исполнения договора, заключенного с субъектом персональных данных. В нашем случае это трудовой договор, а субъект персональных данных - работник.

В чем здесь сложность? А в том, что мы обрабатываем персональные данные работника не только в связи с исполнением трудового договора. Трудовым законодательством не предусмотрено обязательное оформление работодателем работнику банковской карточки для выплаты зарплаты через банк. Также не предусмотрены трудовым законодательством и оформление полиса ДМС, абонемента в фитнес-клуб, заказ в мастерской услуг по изготовлению визиток работника. Так что, если работодатель это делает, нельзя сказать, что это все происходит в рамках исполнения трудового договора. Кроме того, отправляя человека в командировку, мы часто сами заказываем ему билеты и комнату в гостинице. Следовательно, персональные данные передаются в кассу РЖД, авиакассу или транспортное агентство, гостиницу в месте командирования. И все эти действия тоже происходят, как вы понимаете, вне рамок трудового договора.

Следовательно, при наличии всех этих и подобных им ситуаций мы обязаны уведомлять Роскомнадзор. Либо их нужно как-то связать с исполнением трудового договора. Причем не обязательно все это расписывать в самом договоре - достаточно включить в него условие, отсылающее к регулирующим этот вопрос локальным нормативным актам организации. Например, мы в трудовом договоре напишем, что командировки оформляются в соответствии с нашим положением о командировках. А в положении о командировках у нас сказано, что работодатель сам заказывает для командированных билеты и гостиницу, при загранкомандировках берет на себя заботы по оформлению визы, для чего в соответствующие организации передаются необходимые персональные данные работника. Вот тогда уже можно сказать, что мы все это делаем исключительно для исполнения трудового договора. Ну и, конечно, на эти варианты передачи персональных данных должно быть получено согласие работника.

Поэтому я рекомендую при разработке типового трудового договора продумать, как лучше прописать в нем условия, касающиеся случаев обработки персональных данных работника, когда такие случаи прямо не предусмотрены трудовым законодательством или договором. Иначе необходимо будет уведомить Роскомнадзор о работодателе как об операторе персональных данных. Хотя и в этом ничего такого страшного я не вижу, просто каждый выбирает более удобный для него способ действий. А вот если вообще ничего не предпринять, то в случае проверки территориальный орган Роскомнадзора может вас оштрафовать за нарушение Закона, и серьезно.

Впервые опубликовано в издании "Главная книга.Конференцзал" 2012, № 10

Начать дискуссию