1) Какие существуют законодательные акты в России, регулирующие защиту персональных данных сотрудников, и как они соотносятся с международными стандартами?
В Российской Федерации вопросы обработки и защиты персональных данных работников регулируют, в частности:
1. Трудовой кодекс Российской Федерации (далее – «ТК РФ»).
2. Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – «Закон № 152-ФЗ»).
3. Приказ Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
Закон № 152-ФЗ устанавливает требования к обработке и защите персональных данных, аналогичные требованиям «Конвенции №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», а также содержит дополнительные определения и требования.
2) Какие типы персональных данных обычно защищаются трудовым законодательством?
Закон № 152-ФЗ определяет персональные данные как любую информацию, относящуюся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Работодатели при обработке персональных данных сотрудников обязаны соблюдать положения действующего законодательства. Работодатели, как правило, обрабатывают следующие персональные данные работников:
- фамилия, имя и отчество;
- данные документа удостоверяющего личность;
- контактные данные (телефон, адрес проживания, E-mail);
- сведения об образовании, опыте работы и иные данные содержащиеся в резюме;
- реквизиты банковского счета;
- данные о доходах;
- данные членов семьи, в т.ч. из свидетельств о заключении брака, рождении детей;
- данные содержащиеся в документах воинского учета.
3) Как обеспечить соблюдение законодательства о защите персональных данных при передаче персональных данных сотрудников третьим лицам (например, подрядчикам, партнерам)?
Работодатель должен получить от работника письменное согласие на передачу его персональных данных третьему лицу. Но есть исключения: передача данных в ПФР, ФСС, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д. Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку, а также когда это необходимо в целях предупреждения угрозы жизни и здоровью работника. Перед передачей персональных данных работодатель обязан предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены и получить подтверждение того, что такое требование будет соблюдено третьим лицом (абз. 4 ч. 1 ст. 88 ТК РФ). Как правило, эта обязанность исполняется путем подписания соглашения об обработке персональных данных либо включения соответствующих положений в договор с третьим лицом.
4) В каком виде получается согласие на обработку персональных данных сотрудников?
Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель, согласие обычно оформляется в письменной форме и должно соответствовать требованиям ст. 9 Закона № 152-ФЗ. Обязательно оформление согласия работника на обработку персональных данных в письменной форме: при получении персональных данных работника у третьей стороны; при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях; для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений – сведений о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Кроме того, необходимо оформлять отдельное согласие на обработку персональных данных разрешенных для распространения (в частности, для публикации персональных данных работников на сайте в сети «Интернет»).
5) Какие персональные данные сотрудников не могут запрашиваться и обрабатываться со стороны работодателя?
Согласно ст. 86 ТК РФ работодатель не вправе получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, а также персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами.
6) Каковы последствия нарушения законодательства о защите персональных данных сотрудников?
При нарушении требований к обработке персональных данных работников возможны, в частности, следующие последствия:
- Административная ответственность за несоблюдение требований к обработке персональных данных работников, которые установлены Трудовым кодексом РФ (ч. 1, 2 ст. 5.27 КоАП РФ);
- Административная ответственность за нарушение требований к обработке персональных данных, которые установлены Закона № 152-ФЗ (ст. 13.11 КоАП РФ);
- Уголовная ответственность по ч. 2 ст. 137 УК РФ - если работник, ответственный за обработку персональных данных других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
