I. Общие положения
1. Настоящие Рекомендации разработаны для оказания практической помощи при осуществлении правового регулирования вопросов, связанных с организацией и осуществлением обработки персональных данных работников образовательных учреждений с целью обеспечения их защиты.
2. Защита персональных данных работника является неотъемлемой составляющей права на уважение частной жизни человека, которое может быть ограничено только в предусмотренных пределах и при определенных условиях.
Защита персональных данных представляет собой комплекс мер технического, организационного и организационно-технического, правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных – работнику).
3. Общие и специальные положения о защите персональных данных работников регламентируются в соответствии с Конституцией Российской Федерации следующими федеральными законами:
Федеральным законом 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ о персональных данных);
Трудовым кодексом Российской Федерации (далее – ТК РФ).
Кроме того, в соответствии с этими федеральными законами приняты подзаконные нормативные правовые акты (постановления Правительства РФ, ведомственные нормативные правовые акты), а также на локальном уровне должны приниматься нормативные и иные акты в целях обеспечения защиты персональных данных работников.
4. В соответствии со ст. 3 ФЗ о персональных данных персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Согласно ст. 2 ФЗ о персональных данных его целью является защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну.
Персональные данные относятся к категории конфиденциальной информации, которые указаны в Перечне сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»).
Следовательно, работодатель, получающий доступ к персональным данным, должен обеспечить конфиденциальность таких данных.
В соответствии со ст. 5 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» к сведениям, которые не могут составлять коммерческую тайну, отнесены в частности:
сведения о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений.
Наряду с этим предусмотрено, что не могут являться коммерческой тайной сведения о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации, а также обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Таким образом, образовательные учреждения, являющиеся некоммерческими организациями, обязаны в установленных федеральным законодательством случаях, в том числе в рамках реализации предусмотренного Федеральным законом «О профессиональных союзах, их правах и гарантиях деятельности» права на информацию (ст. 17), представлять по запросу профсоюзной организации сведения о численности и об оплате труда работников учреждения.
5. ФЗ о персональных данных определяет требования к сбору и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) персональных данных физических лиц во всех сферах, где используются персональные данные, в том числе в сфере трудовых правоотношений, возникающих в образовательных учреждениях, с учетом особенностей, предусмотренных ТК РФ.
В соответствии со статьей 1 ФЗ о персональных данных сфера его действия распространяется на отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, физическими лицами, юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Таким образом, требования ФЗ о персональных данных распространяются на все организации, в том числе образовательные учреждения, которые выступают операторами, обрабатывающие в своих информационных системах персональные данные физических лиц (работников, обучающихся и др.), независимо от формы собственности.
6. В образовательных учреждениях активно внедряются и эксплуатируются информационные системы, осуществляющие ввод и обработку персональных данных, делопроизводство, бухгалтерские программы и др. Данные системы предназначены для ведения базы данных воспитанников, обучающихся, родителей и работников образовательного учреждения, формирование единой системы учета движения воспитанников и обучающихся, оперативного управления образовательным учреждением. Именно образовательные учреждения должны в первую очередь отреагировать на требования законодательства о защите персональных данных участников образовательного процесса с учетом того, что фактически речь идет не просто о защите какого-то абстрактного вида информации, а о защите сведений, незаконное использование которых может серьезно отразиться на правах граждан и судьбе человека.
7. Вопрос правовой регламентации обеспечения защиты персональных данных работников в настоящее время является особенно актуальным, поскольку информационные системы персональных данных работников образовательных учреждений, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями ФЗ о персональных данных не позднее 1 июля 2011 года.
ФЗ о персональных данных определяет информационную систему персональных данных как информационную систему, представляющую собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
В соответствии с ч. 1 ст. 19 ФЗ о персональных данных оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. При этом требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных устанавливает Правительство РФ.
Постановлением Правительства РФ от 17 ноября 2007 г. № 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, которым установлены требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.[1]
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
В соответствии с частью 3 статьи 4 ФЗ о персональных данных постановлением Правительства РФ от 15 сентября 2008 г. № 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, которым установлены особенности обработки персональных данных, осуществляемой без использования средств автоматизации.
Пунктом 1 указанного Положения предусмотрено, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
При этом обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований этого Положения.
Приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 5 февраля 2010 г. № 58 утверждено Положение о методах и способах защиты информации в информационных системах персональных данных (зарегистрирован в Минюсте России 19 февраля 2010 г., регистрационный № 16456), которое подробно регламентирует вопросы, связанные с порядком применения методов и способов защиты информации в информационных системах персональных данных оператором или уполномоченным им лицом.
8. В соответствии с ч. 1 ст. 22 ФЗ о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Россвязькомнадзор) выступает таким уполномоченным органом, который приказом от 17 июля 2008 г. № 08 утвердил образец уведомления об обработке (о намерении осуществлять обработку) персональных данных и Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.
Частью 2 статьи 22 ФЗ о персональных данных установлено, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных,относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения. Следовательно, образовательные учреждения не должны уведомлять этот уполномоченный орган об обработке ими персональных данных работников, состоящих в трудовых отношениях с учреждениями.
II. Планирование мероприятий по защите персональных данных работников
9. При планировании и осуществлении мероприятий, связанных с защитой персональных данных работников, рекомендуется привлекать юристов, специалистов отдела кадров (по кадровым вопросам), специалистов по информационной работе (компьютерным технологиям). Правовая составляющая должна стать обязательным элементом всей деятельности учреждения в этом направлении, поскольку необходимо:
разработать локальные акты (нормативные и правовые)[2], связанные не только с организационной и правовой, но и технической защитой персональных данных;
проработать механизмы взаимоотношений с органами, осуществляющими управление в сфере образования, профсоюзными организациями, органами контроля и надзора и т.д.
10. Главным условием защиты персональных данных является четкая регламентация функций работников отдела кадров (либо лиц, на которых возлагаются соответствующие функции и других уполномоченных лиц), а также принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных.
Ключевым вопросом становится оценка наличия предусмотренных законодательством оснований для обработки персональных данных, а в случаях, когда они отсутствуют, — получение согласия субъекта персональных данных на их обработку. При этом согласно ФЗ о персональных данных обязанность предоставить доказательство о получении согласия субъекта персональных данных на их обработку возлагается на оператора, т.е. на работодателя.
11. Особое внимание следует уделить передаче персональных данных третьим лицам как с точки зрения наличия основания для такой передачи, предусмотренного федеральными законами, или в виде согласия субъекта персональных данных (например, закрепленного в договоре на оказание услуг), так и с точки зрения обязательного наличия договора с этим третьим лицом, существенным условием которого должна быть обязанность обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке.
Таким образом, в ходе работ по приведению обработки персональных данных в соответствие с требованиями ФЗ о персональных данных их важной составной частью должен стать анализ договорной работы и, при необходимости, корректировка договоров как с физическими, так и с юридическими лицами в части обработки персональных данных и особенно их передачи третьим лицам.
Необходимо особо внимательно подойти также и к использованию веб-форм[3] для сбора персональных данных физических лиц, включая работников, и размещению информации, содержащей персональные данные, на Интернет-сайте образовательного учреждения.
12. С учетом изложенного можно выделить следующие обязательные этапы работ по защите персональных данных работников:
— определение всех ситуаций, когда требуется проводить обработку персональных данных;
— выделение процессов, в которых обрабатываются персональные данные;
— выбор ограниченного числа процессов для проведения аналитики (на этом этапе формируется перечень подразделений и работников, участвующих в обработке персональных данных в рамках своей служебной деятельности);
— определение круга информационных систем и совокупности обрабатываемых персональных данных;
— проведение категорирования персональных данных и предварительной классификации информационных систем[4];
— разработка пакета организационно-распорядительных документов для обеспечения защиты персональных данных (положения, приказы, акты, инструкции и т.п.);
— внедрение системы обеспечения безопасности информации[5].
Следовательно, защита персональных данных работников в образовательном учреждении по сути сводится к созданию режима обработки персональных данных, включающего:
создание внутренней документации по работе с персональными данными;
создание организационной системы защиты персональных данных;
внедрение технических мер защиты персональных данных.
III. Правовое регулирование вопросов обеспечения защиты персональных данных работников на локальном уровне
13. В соответствии со ст. 85 ТК РФ к персональным данным работника относится информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Таким образом, отличительными признаками персональных данных работника являются:
информация о работнике, необходимая работодателю в связи с трудовыми отношениями;
информация касается только конкретного работника.
Вопрос о том, какая информация необходима работодателю и будет отнесена к категории персональных данных работника, подлежащих защите, работодатель должен определить самостоятельно с учетом действующего законодательства и с участием самих работников и их представителей.
14. Согласно порядку документального оформления в сфере трудовых отношений на каждого работника работодателем заводится личное дело, в котором хранятся сведения, относящиеся к персональным данным работника:
копия паспорта (паспортные данные работника);
копия страхового свидетельства государственного пенсионного страхования;
копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);
анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в т.ч. автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);
иные документы, которые с учетом специфики работы и в соответствии с законодательством РФ должны быть предъявлены работником при заключении трудового договора или в период его действия (например, медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров);
трудовой договор (соглашения о внесении изменений и дополнений в него);
копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;
личная карточка по форме Т-2;
заявления, объяснительные и служебные записки работника;
документы о прохождении работником аттестации, собеседования, повышения квалификации (аттестационный лист);
иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых правоотношений с работником.
15. Статьей 87 Трудового кодекса РФ предусмотрено, что порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований ТК РФ и иных федеральных законов, что подразумевает регулирование порядка обработки персональных данных работников локальными нормативными и иными актами.
Основным таким локальным нормативным актом должно быть Положение о защите персональных данных работников, которое принимается с учетом мнения выборного органа первичной профсоюзной организации учреждения в порядке, предусмотренном ст. 372 ТК РФ (примерное положение о защите персональных данных работников прилагается к настоящим Рекомендациям – приложение № 1).
Целью принятия данного положения является определение порядка обработки персональных данных работников, обеспечение защиты прав и свобод работников при обработке их персональных данных, а также определение ответственности лиц, имеющих доступ к персональным данным работников, за невыполнение правовых норм, регулирующих обработку и защиту персональных данных работников.
Данный локальный нормативный акт является обязательным, поэтому его отсутствие может быть квалифицировано государственным и иным органом контроля и надзора (федеральной инспекцией труда и др.) как нарушение работодателем трудового законодательства.
16. Наряду с Положением о защите персональных данных работников в образовательном учреждении также необходимо наличие следующих документов:
В процессе получения персональных данных работников:
— согласие работника на получение работодателем персональных данных от третьих лиц (примерная форма согласия прилагается к настоящим Рекомендациям – приложение № 2);
— уведомление работника о получении его персональных данных от третьих лиц (примерная форма уведомления прилагается к настоящим Рекомендациям – приложение № 3);
При осуществлении обработки персональных данных работников:
— согласие работника на обработку его персональных данных (примерная форма письменного согласия работника прилагается к настоящим Рекомендациям – приложение № 4);
При хранении персональных данных работников:
— приказ об утверждении списка лиц, имеющих доступ к персональным данным работников (образец приказа о лицах, уполномоченных на получение и доступ к персональным данным работников прилагается к настоящим Рекомендациям – приложение № 5);
— обязательство о неразглашении персональных данных работников (примерная форма обязательства о неразглашении конфиденциальной информации (персональных данных работников) прилагается к настоящим Рекомендациям – приложение № 6);
При передаче персональных данных работников:
— согласие работника на передачу его персональных данных третьим лицам (примерная форма письменного согласия работника о передаче его персональных данных третьей стороне прилагается к настоящим Рекомендациям – приложение № 7).
Возможен также вариант оформления единого согласия работника на получение работодателем персональных данных от третьих лиц и согласия работника на передачу его персональных данных третьим лицам (примерная форма письменного согласия работника на получение работодателем от третьих лиц и передачу третьим лицам его персональных данных прилагается к настоящим Рекомендациям – приложение № 8).
17. Поскольку на работодателя возложена обязанность соблюдения режима конфиденциальности персональных данных, то необходимо в целях обеспечения выполнения этого требования вести журналы учета персональных данных, их выдачи и передачи другим лицами представителям различных организаций, органам контроля и надзора, правоохранительным органам, которые обеспечат документальную фиксацию внутреннего и внешнего доступа к персональным данным работников.
В журнале учета внутреннего доступа к персональным данным (доступа работников учреждения к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (личное дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.
Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.
Помимо этого, также необходимо вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.
Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работников.
Таким образом, рекомендуется ведение в образовательном учреждении следующих учетных документов движения персональных данных работников:
журнал учета внутреннего доступа к персональным данным работников в учреждении;
журнал учета выдачи персональных данных работников учреждения организациям и государственным органам (журнал учета внешнего доступа к персональным данным работников);
журнал проверок наличия документов, содержащих персональные данные работников.
Кроме того, учитывая, что к числу методов и способов защиты информации от несанкционированного доступа для обеспечения безопасности персональных данных в информационных системах определенного класса относится учет всех защищаемых носителей информации с помощью их маркировки и занесения учетных данных в журнал учета, то необходимо также ведение журнала учета применяемых работодателем носителей информации.
IV. Обязанности работодателя по обеспечению защиты персональных данных работников
18. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника в соответствии со ст. 86 ТК РФ обязаны соблюдать следующие общие требования:
— обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (определены особые цели обработки персональных данных работников);
— при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами (только федеральные законы могут служить правовой основой для определения работодателями объема и содержания обрабатываемых персональных данных работников);
— все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (установлен личный характер получения персональных данных от самого работника, за исключением случаев получения этих данных только от третьей стороны в установленном порядке – при условии уведомления работника и получения его письменного согласия);
— работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, за исключением случаев, непосредственно связанных с вопросами трудовых отношений (в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия);
— работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами (определено, что персональные данные работников об их членстве в профсоюзе или профсоюзной деятельности могут быть получены только в случаях, предусмотренных ТК РФ, Федеральным законом «О профессиональных союзах, их правах и гарантиях деятельности», прежде всего в целях обеспечения защиты их трудовых прав в предусмотренных федеральными законами формах);
— при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения (связано с тем, что персональные данные в электронном виде могут быть подвергнуты неправомерной корректировке в результате случайных или неправомерных действий либо в результате сбоя программы, поэтому подтверждение следует получить от самого работника);
— защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
— работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области (установлена обязанность работодателя письменно знакомить работников и их представителей в лице членов выборного органа первичной профсоюзной организации учреждения со всеми документами по этим вопросам, принятым в учреждении);
— работники не должны отказываться от своих прав на сохранение и защиту тайны;
— работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников (установлена равная обязанность сторон социального партнерства на локальном уровне и сторон трудовых отношений по выработке мер защиты персональных данных работников).
19. В соответствии со ст. 21 ФЗ о персональных данных оператор (работодатель) также обязан:
— осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения субъекта персональных данных или его законного представителя либо получения запроса уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора на период проверки.
В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;
— устранить допущенные нарушения в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, — также указанный орган;
— незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в случае достижения цели обработки персональных данных в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, — также указанный орган;
— прекратить обработку персональных данных и уничтожить персональные данные в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
V. Порядок передачи работодателем персональных данных работников
20. По общему правилу, персональные данные работника не могут быть переданы работодателем третьей стороне. Исключением из данного правила являются следующие случаи:
выдача работником письменного согласия на передачу персональных данных третьей стороне;
передача персональных данных работника в целях предупреждения угрозы жизни и здоровью самого работника;
другие случаи, установленные федеральным законом.
21. При передаче персональных данных работника работодатель должен соблюдать обязательные требования, предусмотренные ст. 88 ТК РФ, к числу которых относятся требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;
разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Поскольку персональные данные относятся к категории конфиденциальной информации, любые лица, обладающие данной информацией, обязаны соблюдать специальный режим использования и защиты персональных данных работников. Так, лица, получившие персональные данные работника на законном основании, обязаны использовать их исключительно в целях, которые заявлялись при запросе соответствующей информации, а также не разглашать такую информацию (исключения из данного правила определяются только федеральными законами).
22. В связи с этим получателями персональных данных работника на законном основании являются:
органы социального страхования, органы пенсионного обеспечения, а также иные органы, организации и граждане, определяемые в соответствии с федеральными законами о конкретных видах обязательного социального страхования, определяемых в соответствии с Федеральным законом от 16 июля 1999 г. № 165-ФЗ «Об основах обязательного социального страхования», согласно которому отношения по обязательному социальному страхованию возникают у страхователя (работодателя) — по всем видам обязательного социального страхования с момента заключения с работником трудового договора;
налоговые органы (в соответствии со ст. 24 Налогового кодекса РФ, выступая в качестве налогового агента работников, исчисляющего, удерживающего из средств, выплачиваемых работникам, и перечисляющего в бюджет соответствующие налоги, работодатель обязан представлять в налоговый орган по месту своего учета документы, необходимые для осуществления контроля за правильностью исчисления, удержания и перечисления налогов);
органы прокуратуры и другие правоохранительные органы (в соответствии со ст. 23 ФЗ о персональных данных имеют право запрашивать информацию у работодателей в рамках проверки для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью).
федеральная инспекция труда (государственные инспекторы труда в соответствии со ст. 357 ТК РФ при осуществлении надзорно-контрольной деятельности имеют право запрашивать у работодателей и безвозмездно получать от них документы и информацию, необходимую для выполнения надзорных и контрольных функций, включая персональные данные работников);
профессиональные союзы (в соответствии с Федеральным законом «О профессиональных союзах, их правах и гарантиях деятельности» и ТК РФ профсоюзы имеют право на получение информации от работодателей по социально-трудовым вопросам для осуществления своей уставной деятельности, а также право на осуществление общественного контроля за соблюдением работодателями, должностными лицами трудового законодательства);
другие органы и организации в случаях, предусмотренных федеральным законом.
VI. Реализация прав профсоюзов, связанных с доступом к персональным данным работников
23. В соответствии со ст. 17 Федерального закона «О профессиональных союзах, их правах и гарантиях деятельности» для осуществления своей уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам.
Профсоюзные органы имеют право обсуждать полученную информацию с приглашением представителей работодателей, их объединений (союзов, ассоциаций), органов управления организацией, органов государственной власти и органов местного самоуправления.
24. Согласно ст. 11 Федерального закона «О профессиональных союзах, их правах и гарантиях деятельности» профсоюзные представители вправе беспрепятственно посещать организации и рабочие места, где работают члены соответствующих профсоюзов, для реализации уставных задач и предоставленных профсоюзам прав.
В соответствии со статьей 19 указанного федерального закона профсоюзы имеют право на осуществление профсоюзного контроля за соблюдением работодателями, должностными лицами трудового законодательства, в том числе по вопросам трудового договора, рабочего времени и времени отдыха, оплаты труда, гарантий и компенсаций, льгот и преимуществ, а также по другим социально-трудовым вопросам в организациях, в которых работают члены данного профсоюза, и имеют право требовать устранения выявленных нарушений. Работодатели, должностные лица обязаны в недельный срок с момента получения требования об устранении выявленных нарушений сообщить профсоюзу о результатах его рассмотрения и принятых мерах.
25. Право на осуществление профсоюзами контроля за соблюдением работодателями и их представителями трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, в том числе по вопросам защиты персональных данных работников, выполнением ими условий коллективных договоров, соглашений установлено также статьей 370 Трудового кодекса РФ.
Для осуществления контроля за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, выполнением условий коллективных договоров, соглашений общероссийские профессиональные союзы и их объединения могут создавать правовые и технические инспекции труда профсоюзов, которые наделяются полномочиями, предусмотренными положениями, утверждаемыми общероссийскими профессиональными союзами и их объединениями.
Профсоюзные инспекторы труда в установленном порядке имеют право беспрепятственно посещать любых работодателей (организации, независимо от их организационно-правовых форм и форм собственности, а также работодателей — физических лиц), у которых работают члены данного профессионального союза или профсоюзов, входящих в объединение, для проведения проверок соблюдения трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, законодательства о профессиональных союзах, выполнения условий коллективных договоров, соглашений.
26. Профсоюзные инспекторы труда, в том числе правовые инспекторы труда, имеют право:
осуществлять контроль за соблюдением работодателями трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права;
направлять работодателям представления об устранении выявленных нарушений трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, обязательные для рассмотрения;
обращаться в соответствующие органы с требованием о привлечении к ответственности лиц, виновных в нарушении трудового законодательства и иных актов, содержащих нормы трудового права, сокрытии фактов несчастных случаев на производстве.
27. Устав Профессионального союза работников народного образования и науки РФ и Положение о правовой инспекции труда Профсоюза определяют полномочия профсоюзных представителей по вопросу осуществления профсоюзного контроля и другим вопросам, относящимся к уставной деятельности.
Таким образом, в целях реализации полномочий, установленных федеральными законами и предусмотренных в Уставе Профсоюза и иных профсоюзных нормативных документах, профсоюзные организации вправе запрашивать в определенных целях и получать от работодателя информацию, в том числе относящуюся к персональным данным работников, которую обязаны использовать исключительно в целях, которые заявлялись при запросе соответствующей информации, а также не разглашать такую информацию, т.е. обеспечивать в соответствии с требованиями законодательства ее конфиденциальность.
При этом следует учитывать, что в соответствии со ст. 8 ТК РФ в случаях, предусмотренных ТК РФ, другими федеральными законами и иными нормативными правовыми актами Российской Федерации, коллективным договором, соглашениями, работодатель при принятии локальных нормативных актов учитывает мнение представительного органа работников. Коллективным договором, соглашениями может быть предусмотрено принятие локальных нормативных актов по согласованию с представительным органом работников.
Следовательно, работодатели принимают локальные нормативные акты учреждения, содержащие нормы трудового права, с учетом мнения или по согласованию с выборным органом первичной профсоюзной организации в порядке, предусмотренном ст. 372 ТК РФ. Перечень локальных нормативных актов, как правило, указывается в коллективном договоре учреждения.
VII. Права и обязанности работников, связанные с обработкой и защитой их персональных данных
28. Согласно п. 8 ст. 86 Трудового кодекса РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки и защиты персональных данных, а также их права и обязанности в этой области.
29. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники в соответствии со ст. 89 ТК РФ имеют право на:
полную информацию об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
30. Работники обязаны в разумный срок информировать работодателя об изменении персональных данных.
VIII. Ответственность за нарушение требований
по защите персональных данных
31. В соответствии со ст. 24 ФЗ о персональных данных лица, виновные в нарушении требований этого федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
32. Неисполнение требований ФЗ о персональных данных влечет для операторов баз данных риски следующего характера:
гражданские иски со стороны работников;
репутационные риски;
приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований ФЗ о персональных данных;
направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей Уголовного кодекса РФ и Кодекса РФ об административных правонарушениях.
33. В соответствии со ст. 90 ТК РФ, устанавливающей ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника, лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Так, к работнику, отвечающему за хранение персональных данных в силу его трудовых обязанностей, работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ (замечание, выговор, увольнение).
Работодатель может расторгнуть трудовой договор по своей инициативе по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ при разглашении работником охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.
Помимо этого работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены к материальной и уголовной ответственности.
IX. Система государственного надзора и контроля в области персональных данных
34. Система государственного надзора и контроля в области персональных данных строится на функционировании трех регуляторов, ответственных за определенные области деятельности в сфере персональных данных.
Основным регулятором, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, является уполномоченный орган по защите прав субъектов персональных данных — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), территориальные органы которой действуют в каждом субъекте РФ. Зона ответственности и область проверок этого регулятора – все организационные мероприятия, включительно до акта классификации информационных систем персональных данных. Права и обязанности этого уполномоченного органа устанавливаются положением о нем в соответствии со ст. 23 ФЗ о персональных данных.
Вторым регулятором, осуществляющим контроль за осуществлением мер по технической защите информационных систем обработки персональных данных, является Федеральная служба по техническому и экспортному контролю (ФСТЭК) и ее территориальные органы. Сфера ответственности и область проверок – технические средства защиты информации, использующие некриптографические методы и способы защиты персональных данных.
Третьим регулятором является федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, — Федеральная служба безопасности (ФСБ), которая устанавливает особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах и осуществляет контроль в этой области.
Кроме того, следует иметь в виду, что наряду с этими тремя регуляторами, обладающими своей компетенцией в сфере персональных данных, федеральная инспекция труда, представляющая собой в соответствии со ст. 354 ТК РФ единую централизованную систему, состоящую из федерального органа исполнительной власти и его территориальных органов (государственных инспекций труда), является уполномоченным органом на проведение государственного надзора и контроля за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, в том числе по вопросам соблюдения требований трудового законодательства в области защиты персональных данных работников.
Приложения к Рекомендациям №№ 1-8 на 20 л.
[1] Использование средств автоматизации или автоматизированная обработка персональных данных – действия с персональными данными, которые выполняются в информационных системах персональных данных без участия самого работника, т.е. полностью автоматически.
[2] Локальный нормативный акт – принятый в установленном законодательством порядке (ст. 372 ТК РФ) акт, содержащий нормы трудового права и закрепляющий правила поведения неопределенного круга лиц (субъектов трудовых правоотношений) в рамках конкретного учреждения.
Локальный правовой акт – содержащий нормы трудового права индивидуально определенный акт работодателя, устанавливающий (изменяющий, отменяющий) права и обязанности конкретных лиц.
[3] Веб-форма – это элемент веб-страницы, в который необходимо вводить информацию, в том числе персональные данные. При заполнении формы в ней набирается определенный текст (например, при работе в сети Интернет нередко заполняются разные формы: запрос в поисковой машине, регистрация на сайте, в гостевой книге, при отправлении письма и т.п.).
[4] В соответствии с п. 1.4 Положения о методах и способах защиты информации в информационных системах персональных данных выбор и реализация методов и способов защиты информации в ин формационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, который утвержден приказом ФСТЭК, ФСБ и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 (зарегистрирован в Минюсте России 3 апреля 2008 г., регистрационный № 11462).
[5] Согласно п. 2 Положения о методах и способах защиты информации в информационных системах персональных данных безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.