Проверки Роскомнадзора. Защита персональных данных

Обрабатывая персональные данные, работодатель совершает следующие действия: сбор, систематизацию, накопление, хранение, уточнение, обновление, изменение, обезличивание, блокирование, уничтожение, использование, распространение и передачу. На работодателя также накладываются некоторые ограничения. Так, работодатель не имеет права:

• разглашать персональные данные работника без его письменного на то согласия (исключения – случаи, когда это необходимо в целях предотвращения угрозы жизни и здоровью работника, а также случаи, предусмотренные Законом);
• сообщать персональные данные работника в коммерческих целях;
• запрашивать информацию о состоянии здоровья работника, если эта информация не имеет отношения к его трудовым обязанностям.

Хочу все знать…

Разумеется, при приеме на работу нового сотрудника работодатель стремится узнать о нем как можно больше, просит представить необходимые (а иногда и не очень необходимые) документы, ведь полнота сведений о работнике позволит выстроить с ним нормальные трудовые правоотношения в будущем. Как правило, принимая на работу нового сотрудника, работодатель получает доступ к персональным данным. Эти данные содержатся в документах, предоставляемых сотрудником при устройстве на работу (согласно ст. 65 ТК):

• паспорте;
• военном билете (у военнообязанных);
• свидетельстве о присвоении ИНН;
• страховом пенсионном свидетельстве;
• документах об образовании (в том числе и дополнительном образовании, если работник предоставляет их при приеме на работу, или это требуется при выполнении определенных трудовых функций);
• водительском удостоверении – в случае необходимости;
• медицинской справке о прохождении медицинского осмотра по определенной форме – также в случае необходимости.

Этот перечень является общим, но не исчерпывающим, т.к. в ч. 2 ст. 65 ТК сказано, что могут быть затребованы и иные документы, предусмотренные нормативными актами. Если в нормативных актах не предусмотрены специальные документы для конкретной организации, работодатель не вправе требовать их от сотрудников. Однако работодатель часто пренебрегает этим правилом и запрашивает у потенциального работника информацию, не относящуюся к его будущей специальности. Например, работодатель формально не имеет права запрашивать у работника рекомендации, однако их предоставление зачастую играет в пользу работника. Любую информацию, не установленную в Законе, работодатель может запросить у третьих лиц лишь с письменного согласия работника.

Согласно п. 8 ст. 86 Трудового кодекса, работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

На сегодняшний день не предусмотрена ответственность за избыточный сбор информации, чем и пользуются работодатели. Сильная конкуренция на рынке рабочей силы приводит к тому, что работник беспрекословно сообщает о себе более полную информацию, чем того требует Закон. Конечно, сбор информации не нарушает Закон, а вот за незаконное распространение персональных данных работодатель уже может быть привлечен к ответственности.

Уполномоченным органом по контролю и надзору в сфере защиты прав субъектов персональных данных в Российской Федерации является Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций создана в соответствии с Указом Президента Российской Федерации № 1715 от 3 декабря 2008 г.). То есть в том, что касается трудового права, Роскомнадзор конт­ролирует работодателей в вопросах обработки персональных данных работников, защищая права последних.

Рассмотрим, как именно происходят проверки организаций Роскомнадзором, и что входит в компетенцию проверяющих.

Прежде всего, необходимо сказать, что Роскомнадзор в своей деятельности руководствуется Административным регламентом, утвержденным приказом Роскомнадзора от 1 декабря 2009 г. № 630, который начал действовать 1 января 2010 г.

Все идет по плану?

Существуют два вида проверок: плановые и внеплановые. Плановые проверки проводятся в соответствии с утвержденным графиком, ознакомиться с которым можно на официальном сайте Роскомнадзора: www.rsoc.ru. Внеплановые проверки проводятся, как правило, на основании поступившей жалобы от юридического лица или гражданина. После поступления жалобы работники Роскомнадзора должны ее рассмотреть и принять решение о проведении внеплановой проверки или об отсутствии оснований для проведения проверки.

Роскомнадзор заранее в письменной форме оповещает организацию, в которой будет проводиться проверка, о дате, основаниях и продолжительности ее проведения.

Какие же нарушения чаще всего допускает работодатель?

Прежде всего, это отсутствие необходимой конфиденциальности, говоря проще, утечка информации (персональных данных сотрудника). Во-вторых, это отсутствие необходимого письменного согласия работника на обработку его персональных данных. В-третьих, нарушение сроков обработки или предоставления информации по соответствующему запросу. В-четвертых, работодатель зачастую не направляет в Роскомнадзор уведомление об обработке персональных данных.

Это далеко не исчерпывающий перечень нарушений, но эти нарушения типичны и встречаются чаще всего.

В ст. 64 Регламента содержится перечень документов, которые обязательно будут затребованы у работодателя при проведении проверки. К ним относятся:

• уведомления работников об обработке персональных данных;
• письменные согласия сотрудников и других субъектов персональных данных на обработку сведений о них;
• документы, подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки;
• локальные акты оператора, регламентирующие порядок и условия обработки персональных данных.

Кто за что в ответе?

Рассмотрим вопрос об ответственности работодателя за нарушения, выявленные при проверке. Некоторые работодатели ошибочно полагают, что если в их организации персональные данные не обрабатываются автоматически, а хранятся так, как было принято раньше (в картонных папках на полках и в сейфах), то они не должны ничего менять и ничего делать, поскольку действие Закона «О персональных данных» на них не распространяется.

И это довольно расхожее заблуждение.

Допуская его, организация забывает о ст. 1 указанного ФЗ, в которой сказано, что Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой в том числе юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Следовательно, любой работодатель, являющийся оператором, обязан соблюдать правила обработки персональных данных, в противном случае он может быть привлечен к ответственности по результатам проверки Роскомнадзора.

Ответственность работодателя за нарушение правил работы с персональными данными разделяют на следующие виды: гражданскую, уголовную, административную, дисциплинарную. Об этом сказано и в ст. 24 Закона «О персональных данных»: лица, виновные в нарушении закона о персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

Рассмотрим подробнее каждый из видов.

Статьей 13.11 Кодекса об административных правонарушениях предусмотрена административная ответственность за нарушение порядка сбора, хранения, использования или распространения персональных данных. Санкция данной статьи предусматривает предупреждение или наложение штрафа на граждан – от 300 до 500 рублей; на должностных лиц – от 500 до 1000 рублей; на организации – от 5 000 до 10 000 рублей (ст. 13.11 КоАП). За непредставление, за несвоевременное представление, за представление в неполном или искаженном виде сведений в госорганы предусмотрен штраф на граждан – от 100 до 300 рублей; на должностных лиц – от 300 до 500 рублей; на юридических лиц – от 3000 до 5000 рублей (ст. 19.7 КоАП РФ). Административная ответственность предусмотрена также ст. 13.14 Кодекса об административных правонарушениях РФ: разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение штрафа на граждан – от 500 до 1000 рублей; на должностных лиц – от 4000 до 5000 рублей. Если в ходе проверки будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за их хранение и обработку, виновный может быть привлечен к административной ответственности.

В некоторых случаях за разглашение персональных данных субъект может быть привлечен и к уголовной ответственности по основаниям, предусмотренным в ст. 137 Уголовного кодекса, за нарушение неприкосновенности частной жизни: незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. В ч. 2 указанной статьи – те же деяния, совершенные лицом с использованием своего служебного положения. Следовательно, если работник, ответственный за хранение, обработку и использование персональных данных, злоупотреблял своим служебным положением, использовал свои полномочия для распространения сведений, касающихся частной жизни других сотрудников, он может быть привлечен к уголовной ответственности.

Для виновного лица, т.е. субъекта преступления, санкции, предусмотренные ст. 137 УК, гораздо строже, нежели предусмотренные КоАП. В указанной статье УК предусмотрены не только штрафы, но и ограничение свободы, а также запрет заниматься определенными видами деятельности и иные санкции. Преступления, квалифицированные по этой статье, относятся к преступлениям против конституционных прав и свобод, поскольку затрагивают частную жизнь лица, чьи права нарушены.

К дисциплинарной ответственности привлекается работник, непосредственно имеющий отношение к персональным данным, т.е. кадровик, менеджер по персоналу, работник кадровой службы и (или) любой другой сотрудник, ответственный за хранение и работу с личными делами и документами других сотрудников в связи с исполнением своих обязанностей.

За совершение дисциплинарного проступка, в данном случае – за разглашение персональных данных, к виновному работнику могут быть применены следующие виды взысканий: замечание, выговор, увольнение по соответствующим основаниям. При этом необходимо разграничивать время совершения проступка: был ли совершен проступок в период действия трудового договора или после расторжения трудового договора с работником, ответственным за хранение персональных данных. Если проступок был совершен после расторжения трудового договора, т.е. после прекращения трудовых правоотношений, то работник уже не является субъектом дисциплинарной ответственности. Следовательно, применить к работнику замечание или выговор уже невозможно, равно как и уволить по соответствующим основаниям. Если работодатель понес существенный ущерб из-за разглашения персональных данных после прекращения трудовых правоотношений с сотрудником, ответственным за обработку и хранение персональных данных, можно попытаться взыскать его с работника в судебном порядке (если в досудебном решить конфликт не удается, и работник отказывается от возмещения ущерба).

Трудовой кодекс предусматривает расторжение трудового договора в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника (подп. «в» п. 6 ч. 1 ст. 81 ТК). При этом бремя доказывания правомерности такого увольнения лежит на работодателе, о чем сказано в п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2 (ред. от 28.09.2010) «О применении судами Российской Федерации Трудового кодекса Российской Федерации»: «В случае оспаривания работником увольнения по подпункту «в» пункта 6 части первой статьи 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей, и он обязывался не разглашать такие сведения».

Материальная ответственность предусмотрена ст. 238 ТК, где сказано, что под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. В случае если вред работодателю или работнику был допущен по вине лица, ответственного за неразглашение персональных данных, работодатель может привлечь виновного к материальной ответственности. Кроме того, п. 7 ст. 243 ТК РФ устанавливает случаи привлечения работника к полной материальной ответственности за разглашение им сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами.

Говоря об ответственности работника, нельзя не упомянуть об обязанности работодателя за счет собственных средств обеспечивать защиту персональных данных работников от неправомерного их использования или утраты. Работодатель обязан обеспечить порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним (п. 7 ст. 86 ТК РФ). Для этого работодатель в соответствии со ст. 8 и 22 ТК РФ наделен полномочиями по принятию в пределах своей компетенции локальных нормативных актов, устанавливающих порядок хранения и обработки персональных данных, а также доступа к ним. Причем издание таких актов – прямая обязанность работодателя, в случае неисполнения которой он может быть привлечен к административной ответственности по основаниям, указанным в ст. 5.17 КоАП.

Руководствуясь ст. 57 ТК РФ, условия об установлении ответственности работника, наделенного полномочиями по хранению, обработке персональных данных, также следует включить в Трудовой договор.

Итак, вопрос хранения и обработки персональных данных является немаловажным в процессе построения трудовых правоотношений между работником и работодателем, причем даже после прекращения трудовых правоотношений. Работнику, ответственному за хранение и обработку данных, следует быть очень аккуратным, ответственно относиться к вопросу хранения и обработки и полностью соблюдать действующее законодательство, регулирующее эти вопросы. Работодателю следует установить порядок хранения, обработки и защиты персональных данных, ведь именно работодатель должен обеспечить ответственного за хранение работника всем необходимым (например, сейфом, защищенным компьютером, отдельным рабочим местом и т.д.) для выполнения своих обязанностей по хранению и обработке персональных данных.