Правовые аспекты работы с персональными данными сотрудников организации



Опубликовано в журнале "Советник юриста" №12 год - 2011


Семёнова Е.А.,
заместитель директора по правовым вопросам
некоммерческого партнерства
«Исследовательский центр права «ЮРВЕДЪ»

Право работника на защиту сведений о частной жизни базируется на солидной нормативной базе.

Конституция Российской Федерации гарантирует каждому гражданину право на неприкосновенность частной жизни, личную и семейную тайну. Сбор, хранение, использование и распространение информации о частной жизни человека не допускаются без его согласия (ст. 23 ч. 1 ст. 24)(1).

Указом Президента Российской Федерации от 6 марта 1997 г. № 188 утвержден перечень сведений конфиденциального характера, к числу которых относятся и сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях(2).

В целях защиты прав и свобод граждан при обработке их персональных данных принят Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее по тексту – Закон о персональных данных или Федеральный закон от 25 июля 2011 г. № 261-ФЗ)(3).

Согласно подп. 1 ст. 3 Закона о персональных данных в ред. Федерального закона от 25.07.2011 № 261-ФЗ таковыми являются любые сведения, прямо или косвенно относящиеся к определенному.

Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, именуется
Оператором (подп. 2 ст. 3 Закона о персональных данных).


(1) Собрание законодательства РФ. – 1994. – № 32. – Ст. 3301.
(2) Там же. – 1997. – № 10. – Ст. 1127.
(3) Там же. – 2006. – № 31 (ч. 1). – Ст. 3451.


Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, является обработкой персональных данных (подп. 3 ст. 3 Закона о персональных данных).

Общие принципы работы с персональными данными определены в ст. 5 Федерального закона от 25 июля 2011 г. № 261-ФЗ, согласно которой обработка осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных целей; содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки; при обработке должны быть обеспечены точность и достаточность персональных данных, а в  необходимых случаях – актуальность по отношению к целям обработки.

Вопросы обработки личных сведений о человеке регламентируются также

Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»(1) и постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»(2).

В сфере трудовых отношений принципы и требования к работе с данной категорией информации конкретизируются в Трудовом кодексе Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ред. от 18.07.2011) (далее – ТК РФ)(3).

В соответствии со ст. 85 ТК РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Требования к обработке персональных данных работника излагаются в ст. 86 ТК РФ. В частности, в ней указано, что обработка персональных данных работника может осуществляться исключительно в целях содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы; все персональные данные работника следует получать у него самого.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.

Информацию о частной жизни в случаях, непосредственно связанных с трудовыми отношениями, работодатель вправе получать и обрабатывать только с письменного согласия работника.

Следовательно, работодатель имеет право требовать от работника только информацию, которая характеризует его как сторону трудового договора, но с учетом специфики работы в конкретной организации. Например, работодателю, осуществляющему торговую деятельность продуктами питания, продавец помимо прочих обязан предоставить сведения о состоянии здоровья.


(1) Собрание законодательства РФ. – 2006. – № 31 (ч. 1). – Ст. 3448.
(2) Там же. – 2008. – № 38. – Ст. 4320.
(3) Там же. – 2002. – № 1 (ч. 1). – Ст. 3.


Если работодатель в процессе получает информацию о соискателе на должность, в которой содержатся его персональные данные, то требования о сборе, обработке, хранении, защите персональных данных применяются и к ней.

Исходя из смысла вышеуказанных нормативных актов выполнение их требований обязательно как для организаций, применяющих при обработке персональных данных информационные системы, так и для тех, которые ведут работу с документами на бумажных носителях.

Как правило, персональные данные сотрудников содержат следующие документы:
– копия паспорта, где указаны фамилия, имя, отчество, дата рождения, реквизиты данного документа;
– трудовая книжка со сведениями о трудовом стаже и предыдущих местах работы;
– документы об образовании, подтверждающие квалификацию работника как основание для занятия определенной должности;
– трудовой договор, содержащий информацию о месте работы, должности, заработной плате работника;
– анкета, личный листок по учету кадров и прочие документы, содержащие биографические данные работника;
– копии свидетельств о заключении брака, рождении детей, если они нужны для предоставления работнику льгот, определенных трудовым и налоговым законодательством;
– документы воинского учета для выполнения работодателем обязательств перед военкоматом;
– документы обязательного пенсионного страхования работника для уплаты работодателем соответствующих взносов;
– подлинники и копии приказов по личному составу, в которых содержится информация о приеме, переводе, увольнении и других фактах трудовой  деятельности работника;
– информация об аттестации сотрудников;
– иные документы, содержащие персональные данные работников.

По вопросу получения от работника согласия на обработку его персональных данных, связанных с трудовыми отношениями, существуют две позиции.

Первая из них базируется на п. 1 ч. 1 ст. 6 Федерального закона от 25 июля 2011 г. № 261-ФЗ, в соответствии с которой обработка персональных данных осуществляется с согласия субъекта персональных данных на их обработку.

Содержание согласия определено ст. 9 Закона о персональных данных.

Вторая позиция основывается на п. 5 ч. 1 ст. 6 того же Закона, по смыслу которой согласия субъекта персональных данных не требуется, когда обработка их необходима для исполнения договора, стороной которого является субъект персональных данных.

Кроме того, ст. 65 ТК РФ определяет перечень документов, предъявляемых лицом, поступающим на работу. Документы, определенные законодателем для заключения трудового договора, содержат персональные данные работника.

Поэтому некоторые организации при оформлении приема на работу требуют от работника заполнения письменного согласия на обработку его персональных данных, другие обходятся без согласия исходя из того, что работник является стороной трудового договора.

В соответствии со ст. 87 ТК РФ организация обязана разработать и ввести в действие локальный нормативный акт, которым определяется порядок хранения и использования персональных данных работников.

Несоблюдение данного требования может обернуться для организации наложением административного штрафа.

Так, постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении ОСАО «Ингосстрах» за нарушение трудового законодательства привлечено к ответственности по ч. 1 ст. 5.27 КоАП РФ в виде штрафа в размере 30 тыс. руб.

Судебные инстанции посчитали привлечение ОСАО «Ингосстрах» к административной ответственности правильным, мотивируя это тем, что в период своей деятельности общество нарушило требование ст. 85–87 ТК РФ, выразившееся в неиздании локального нормативного акта, устанавливающего порядок обработки персональных данных работников, а также их права и обязанности в этой области (постановление ФАС Московского округа от 01.11.2006, 08.11.2006 № КАА40/10787-06 по делу № А40-32068/06-96-156)(1).

Внутренним документом об организации работы с персональными данными сотрудников, как правило, является Положение о защите персональных данных, которое на основе российского законодательства и с учетом специфики кадрового учета у конкретного работодателя создает и закрепляет все процедурные вопросы. Форма и содержание данного документа правовыми актами не регламентированы, поэтому при разработке Положения о защите персональных данных учитываются
обычные требования к организационно-распорядительным документам.

Приблизительная структура этого документа включает следующие разделы. «Общие положения». В данном разделе излагаются цель и задачи работы в области защиты персональных данных, даются ссылки на регулирующее данный вопрос законодательство, определяются порядок введения в действие Положения и порядок его пересмотра.

В следующем разделе «Понятие и состав персональных данных работника» указывается перечень документов и сведений, которые работник сообщает работодателю при возникновении и в ходе трудовых отношений и которые относятся к конфиденциальной информации.

При подготовке содержания данного раздела целесообразно провести анализ номенклатуры дел кадровой службы и всех форм учета личного состава, применяемых в организации.

В зависимости от сферы деятельности организации в список могут быть включены сведения о наличии государственных наград, допуске к государственной тайне, об изобретениях и патентах, состоянии здоровья и др.

В разделе «Порядок создания, обработки, хранения персональных данных» формулируются общие требования к обработке персональных данных, определяются структурные подразделения или должностные лица, работающие с ними, указываются виды носителей данной категории сведений (бумажная форма, сочетание бумажной и электронной форм). Как правило, работа с персональными данными находится в компетенции бухгалтерии, служб по персоналу, экономической безопасности, информационных технологий.


(1) СПС «Консультант Плюс».


Следует иметь в виду, что согласно правилу, установленному п. 7 ст. 5 Федерального закона от 25 июля 2011 г. № 261-ФЗ, хранение персональных данных не может быть дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию после достижения целей обработки или в случае утраты необходимости в достижении этих целей.

В разделе «Доступ к персональным данным» желательно предусмотреть порядок пользования персональными данными сотрудника теми должностными лицами организации, которые не участвуют в их создании, обработке, хранении, а также работником – субъектом персональных данных, родственниками и членами семей работника, третьими лицами по доверенности работника.

Здесь же устанавливаются состав документов, основания и условия предоставления сведений с согласия работника другим организациям после его увольнения, страховым компаниям, кредитным учреждениям, благотворительным организациям, негосударственным пенсионным фондам и т. д.

В этом же разделе целесообразно указать наиболее частые случаи передачи персональных данных без согласия работников.

Дело в том, что в соответствии со ст. 228 ТК РФ при несчастном случае с работником работодатель обязан проинформировать соответствующие организации, а при тяжелом несчастном случае (или смерти) – также его родственников. В подобной ситуации не требуется согласия работника на передачу его персональных данных, а сроки направления извещений о несчастном случае и перечень оповещаемых органов определены ст. 228.1 ТК РФ.

Кроме того, работодатель обязан представить персональные данные работников государственным инспекторам труда при осуществлении ими надзорно-контрольной деятельности (ст. 357 ТК РФ).

Ст. 9, п. 2 ст. 11 Федерального закона от 1 апреля 1996 г. № 27-ФЗ (ред. от 11 июля 2011 г.) «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» в обязанности работодателя вменяется представление в Пенсионный фонд РФ в определенных случаях и в установленные сроки сведений о работниках, содержащих персональные данные(1).

Федеральное законодательство может предусматривать и другие случаи передачи персональных данных без согласия работника.

К примеру, в силу ст. 61 Основ законодательства об охране здоровья граждан от 22 июля 1993 г. (утв. ВС РФ 22 июля 1993 г. № 5487-1) (ред. от 18 июля 2011 г.)(2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений или при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий, информация о состоянии здоровья работника передается работодателю.

Кстати, на практике встречаются и весьма неординарные ситуации. Согласно п. 1 ст. 91 Федерального закона от 26 декабря 1995 г. № 208-ФЗ «Об акционерных обществах» общество обязано обеспечить акционерам доступ к документам, предусмотренным п. 1 ст. 89 того же Закона(3).


(1) Собрание законодательства РФ. – 1996. – № 14. – Ст. 1401.
(2) Ведомости СНД и ВС РФ. – 1993. – № 33. – Ст. 1318.
(3) Собрание законодательства РФ. – 1996. – № 1. – Ст. 1.


Акционеры, ссылаясь на данные нормы права, затребовали у общества копию трудового договора, заключенного с генеральным директором. Поскольку трудовой договор содержит персональные данные работника, в том числе размер заработной платы, трудовой договор не был представлен обществом акционерам. Конфликт между обществом и акционерами стал предметом разбирательства в Федеральной службе по финансовым рынкам и суде.

В постановлении ФАС Московского округа от 14 января 2010 г. № КАА40/14463-09 по делу № А40-38438/09-17-269 арбитры указали, что работодатель правомерно не представил акционерам общества копию трудового договора с генеральным директором, поскольку ст. 88 ТК РФ установлен запрет на передачу персональных данных третьей стороне без согласия работника. В данном случае такого согласия не было, поэтому трудовой договор не мог быть представлен заявителям(1).

Защита персональных данных представляет собой регламентированный процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных. В разделе положения «Защита персональных данных» излагаются организационные и технические меры, обеспечивающие достаточно надежную безопасность информации в процессе управленческой и производственной деятельности организации.

Наиболее распространенными способами сохранности персональных данных являются: наличие пропускного режима; рациональное размещение рабочих мест работников, при котором исключается бесконтрольное использование защищаемой информации; опечатывание помещений; размещение документов с конфиденциальной информацией в запирающихся шкафах и/или сейфах; внедрение современных методов защиты сведений, содержащихся на электронных носителях. Разумеется, перечень мероприятий зависит от специфики деятельности организации.

В этом же разделе оговариваются права работников на защиту персональных данных, хранящихся у работодателя, и ответственность его должностных лиц за нарушение правовых норм, регулирующих обработку и хранение персональных данных.

Как правило, положение о защите персональных данных разрабатывается кадровой и юридической службами, затем согласовывается со структурными подразделениями, участвующими в работе с персональными данными: бухгалтерией, службой безопасности и др.

Статья 87 ТК РФ не устанавливает обязанность работодателя согласовывать проект Положения о работе с персональными данными сотрудников с профсоюзным комитетом. Поэтому, если иное не установлено коллективным договором либо соглашением, работодатель не обязан запрашивать мнение выборного органа первичной профсоюзной организации при принятии данного локального нормативного акта.

Положение о работе с персональными данными утверждается руководителем организации и вводится в действие соответствующим приказом.

В соответствии с п. 8 ст. 86 ТК РФ работники должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также с их правами и обязанностями в этой области.

Несоблюдение этой нормы права является основанием для привлечения к административной ответственности.


(1 )«СПС «Консультант Плюс».


Пример из судебной практики. Постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении общество было привлечено к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, выразившегося в нарушении п. 8 ст. 86 ТК РФ, поскольку работник общества Г. не был ознакомлен под роспись с документами организации, устанавливающими порядок обработки персональных данных работников, а также о его правах и обязанностях в этой области. ФАС Московского округа в постановлении от 27.11.2006 № КА-А40/11424–06 отметил: у организации была реальная возможность для соблюдения правил и норм трудового законодательства, но она свою обязанность не выполнила без наличия уважительных причин(1).

Для организации надлежащей работы с документами, содержащими персональные данные, приказом руководителя необходимо назначить лицо, ответственное за работу с персональными данными, и наделить его соответствующими полномочиями.

Тем же приказом можно утвердить и список лиц, допущенных к работе с персональными данными. Данный перечень может быть изложен в тексте приказа либо являться приложением к нему.

Действенной мерой защиты персональных данных является обязательство должностных лиц, имеющих доступ к ним, о неразглашении данной категории информации. Образец подобной расписки целесообразно сделать приложением к тому же приказу, которым регламентируется организация работы с персональными данными.

В целях исполнения требований ст. 88 ТК РФ в качестве приложения к документу, которым регламентируется организация работы с персональными данными, может стать и образец согласия работника на передачу его персональных данных третьей стороне.

В организациях, где кадровый учет большой по объему, целесообразно подготовить инструкцию для менеджера по персоналу, детально регламентирующую правила обработки, хранения и передачи персональных данных сотрудников.

В заключение отметим, что за рамками данной статьи остались вопросы осуществления технических мероприятий, обеспечивающих защиту персональных данных или информационных технологий в электронной форме службами режима, а также направление в Роскомнадзор уведомления об обработке персональных данных.


(1) СПС «Консультант Плюс».


04.04.2014

Также по этой теме:


Список просмотренных товаров пуст
Список сравниваемых товаров пуст
Список избранного пуст
Ваша корзина пуста