Положение о персональных данных

Вопрос защиты персональных данных работников в любой организации — важный вопрос, которому стоит уделить пристальное внимание: слишком большие штрафные санкции и не только предусмотрены для должностных и юридических лиц. В образовательных организациях нередки ситуации, когда персональные данные обрабатываются без законных на то оснований и при отсутствии письменного согласия. Говорить об этом можно очень много на конкретных примерах судебной практики. В данной публикации рассмотрим основополагающие вопросы, которые касаются разработки Положения о персональных данных (исключительно в части трудовых отношений).

В Трудовом Кодексе Российской Федерации вопросу персональных данных посвящена глава 14. Статья 86 ТК РФ «Общие требования при обработке персональных данных работника и гарантии их защиты».

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Статья 87 ТК РФ «Хранение и использование персональных данных работников» закрепляет ответственность работодателя за установление порядка хранения и использование персональных данных работников. Данная норма обязывает работодателя принять локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников. Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под подпись с документами, устанавливающими порядок обработки персональных данных, а также их права и обязанности в этой области, т. е. данный документ является обязательным и его отсутствие может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства.

В соответствии со ст. 68 ТК РФ при приёме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под подпись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью. Поскольку из содержания п. 1 ст. 86 ТК РФ следует, что персональные данные работников обрабатываются исключительно в связи с трудовой деятельностью, то локальные нормативные акты, регламентирующие обработку персональных данных, являются документами, связанными также с их трудовой деятельностью. Следовательно, со всеми локальными нормативными актами, регламентирующими обработку персональных данных, работник должен быть ознакомлен до подписания трудового договора. Структура Положения о персональных данных может быть следующей.

1) «Общие положения». В данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует.

2) «Основные понятия. Состав персональных данных работников». Здесь следует указать, какие документы в организации содержат персональные данные.

3) «Обработка персональных данных». В этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника.

4) «Передача персональных данных». Здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам.

5) «Доступ к персональным данным». В данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов).

6) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных». В данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.

изображениеПорядок принятия локальных актов, как правило, прописывается в Уставе образовательной организации. Обратите внимание, что в случае наличия в организации представительного органа работников Положение о персональных данных должно приниматься с учетом требований ст. 372 ТК РФ. Согласно данной статье перед принятием решения об издании локального нормативного акта работодатель направляет его проект и обоснование его издания в выборный орган первичной профсоюзной организации, представляющий интересы всех или большинства работников. Данный орган не позднее пяти рабочих дней со дня получения проекта указанного локального нормативного акта направляет работодателю мотивированное мнение о проекте, составленное в письменной форме. В случае если это мнение выражает несогласие с проектом либо содержит предложения по его совершенствованию, работодатель может согласиться с мнением профсоюзного органа, либо в течение трех дней после его получения провести дополнительные консультации с указанным органом в целях достижения решения, устраивающего обе стороны. Если согласие не достигнуто, возникшие разногласия оформляются протоколом, после чего работодатель имеет право своим решением принять локальный нормативный акт. В свою очередь профсоюзный орган может обжаловать это решение в соответствующую государственную инспекцию труда или в суд. Также согласно ч. 4 ст. 372 ТК РФ указанный орган может начать коллективный трудовой спор в соответствии с нормами Трудового кодекса РФ.

Можно ли образовательную организацию привлечь к ответственности, если на момент приёма работников данный локальный акт не был принят и с ним никто не ознакомлен? Здесь нужно понимать следующий важный момент — кто установил факт отсутствия такого документа? При условии, что на момент проверки организации, например, государственной инспекцией труда Положение о персональных данных было принято и работники ознакомлены с ним под подпись, то привлечь к ответственности будет невозможно. Такой вывод следует из совокупного анализа положений п. 8 ст. 86, ст. 87 ТК РФ. В случае проверки организации проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно ч. 1 ст. 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по ч. 2 ст. 5.27 КоАП РФ. Настоятельно рекомендуем проанализировать имеющийся локальный акт на наличие и ознакомление с ним всех работников под личную подпись. Не путайте ознакомление с локальным актом под подпись с письменным согласием на обработку персональных данных!

Кодексом административных правонарушений Российской Федерации установлена ответственность за нарушение законодательства в области персональных данных (статья 13.11 КоАП РФ).

Например, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

  • на граждан — от 3 000 до 5 000 руб.;
  • должностных лиц — от 10 000 до 20 000 руб.;
  • юридических лиц — от 15 000 до 75 000 руб.

Такие же меры предусмотрены ч. 2 ст. 13.11 КоАП РФ за обработку персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие.

В соответствии со ст. 137 УК РФ незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в сумме до 200 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

изображениеЧасть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Таким образом, если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности.

Написать комментарий

Прикрепить файл
Вы можете прикрепить к сообщению не более пяти файлов (текст, видео, аудио), объемом не больше 5Мб каждый.

Информация персонального характера о пользователях официального сайта образовательной организации хранится и обрабатывается с соблюдением требований российского законодательства о персональных данных.

Политика оператора по обработке персональных данных

КомментарииКомментариев: 0