Статья 86 тк рф. общие требования при обработке персональных данных работника и гарантии их защиты

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

• установлением рисков при обработке ПД в ИС;
• постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
• процедура совершенствования средств и результативности защиты;
• постоянное рассмотрение машинных носителей ПД;
• мгновенное установление неразрешенного проникновения;
• восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
• фиксация и учет всех действий, которые совершаются в ИС;
• используется сотрудничество с вневедомственной охраной;
• база данных защищена паролями, известными только людьми, у которых есть право доступа;

Выполнение требования. Реалии

Ладно, с нормативной базой разобрались, давайте посмотрим, что там на практике. А на практике получилось так:

операторы персональных данных проигнорировали это требование =>

так как нет спроса, разработчики средств защиты долгое время не представляли никаких решений =>

регулятор все понимает и закрывает на это все глаза при проверках =>

поскольку регулятор не «напрягает» операторы персональных данных игнорируют это требование – круг замкнулся.

Все же следует уточнить категоричный тон заголовка – хорошо, может на начало 2021 года и не все порталы с персональными данными не выполняют требование сертифицировано шифровать персональные данные, а процентов 99.

С 2017 года в одном из указанных выше звеньев произошел перелом – отечественные производители средств защиты информации начали выпускать сертифицированные TLS-решения, как раз для решения этой проблемы. Но и тут не обошлось без нюансов. Решения оказались совсем не дружелюбными при их внедрении и использовании. Особенно при использовании на клиентской части.

Самый жесткий вариант состоял в том, что за клиентское решение нужно было платить. Самый безобидный – необходимость использования специализированных браузеров, например, Chromium-gost. Масса таких эксплуатационных проблем возникала при использовании десктопов, а что уж говорить о мобильных устройствах.

Проверив множество государственных веб-порталов мы выяснили, что лишь небольшая часть реализует криптографию в специализированных браузерах по алгоритму ГОСТ. Вот так, например, в таком браузере выглядит сертификат портала torgi.gov.ru:

Правда, в Firefox уже вот такая картина:

Старый добрый RSA, точно не сертифицированный, ведь ФСБ сертифицирует только ГОСТ-криптографию. Да и в целом возникает вопрос, какой в смысл в том, что ГОСТ-шифрование работает, но из специальных браузеров, а из обычных потребительских сайт тоже работает, но на RSA. Получается, что требование как бы выполняется, но для мизерного числа пользователей.

Ну, хоть и на том спасибо, а вот Госуслуги решили не париться:

Основной порядок процедуры

Наниматель и его помощники при работе с персональной информацией сотрудника обязаны соблюдать определенную правомерность своих действий. Порядок обработки личных данных работников:

Персональные сведения заносятся в электронную базу данных предприятия либо фиксируются на бумажных носителях (личная карточка, дело, трудовая книга и др.).
Работодатель, опираясь на законодательство, устанавливает порядок доступа к обработке личной информации сотрудников.
В должностных инструкциях специалистов, имеющих доступ к личным данным других лиц, нанимателем прописываются их обязанности по работе с информационными системами и соответствующей бумажной документацией.
Обработка персональных сведений должна осуществляться в специальных помещениях, таких как кабинет бухгалтера, комната отдела кадров.
Требования к помещениям, обеспечивающие защищенность информации, утверждаются работодателем.
Список лиц, обладающих правом доступа к индивидуальной информации сотрудников и к непосредственной работе с ней, устанавливается посредством приказа руководителя компании.
Сотрудники, допущенные к личным данным других работников, подписывают соглашение «О неразглашении».
Лица, ответственные за работу с персональной информацией, имею право использовать только определенные данные, требующиеся для конкретной операции, остальные же сведения не должны открываться.
При использовании автоматизированных систем обработки и хранения информации, нужно опираться на постановление Правительства РФ №1119 п. 3, 4 от 01.11.2012г., указывающее на обязательства конкретной организации по обеспечению безопасности персональных сведений (подробнее об обязательстве о неразглашении и других документах читайте тут). Меры по защите сведений утверждены постановлением Правительства РФ №512 от 06.07.2008г

и приказом Роскомнадзора №996 от 05.09.2013г.Подробнее о том, что такое положение о защите персональных данных работника, читайте в этом материале.

ВАЖНО. При выборе меры защиты персональных данных, следует исходить из степени их важности и уровня наносимого вреда, вследствие доступа к ним.

Для правильного ведения ручной обработки информации (книги, журналы, реестры) в инструкции должны прописываться требования постановления Правительства РФ №687 от 15.09.2008г.
Передаваться личные сведения о работнике могут только в случае выполнения требований, указанных в статье 88 ТК РФ.

Наниматель имеет право получить и, в дальнейшем, обрабатывать персональную информацию работника, по причине заключения с ним трудовых отношений.

Комментарий к ст. 86 Трудового Кодекса РФ

Комментарии к статьям ТК помогут разобраться в нюансах трудового права.

§ 1. Статья 86 ТК направлена на то, чтобы персональные данные использовались прежде всего в интересах работника: для определения его правового положения по отношению к работодателю, объема и содержания прав и обязанностей работника, вытекающих из трудового договора, и соответственно встречных прав и обязанностей работодателя.

§ 2. Персональные данные работника призваны дать обоснование правомерности заключения и реализации трудового договора, его прекращения, представление об условиях его труда, полагающихся ему гарантиях, компенсациях и льготах.

§ 3. Среди документов и материалов, содержащих информацию, необходимую работодателю в связи с трудовыми отношениями, основное место занимают:

1) документы, предъявляемые при заключении трудового договора (см. ст. 65 ТК);

2) документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;

3) документы о состоянии здоровья работника, если в соответствии с законодательством он должен пройти предварительный и периодические медицинские осмотры;

4) документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и др.);

5) документ о беременности работницы и возрасте детей для предоставления матери установленных законом условий труда, гарантий и компенсаций.

Среди персональных данных работника должны быть трудовой договор, приказ (распоряжение) о приеме на работу, приказы (распоряжения) об изменении условий трудового договора, его прекращении, а также приказы (распоряжения) о поощрениях и дисциплинарных взысканиях, примененных к работнику. В период действия трудового договора среди персональных данных работника должна находиться его трудовая книжка.

§ 4. Сведения о личности человека, его личной жизни, нередко связанные с его достоинством, авторитетом в коллективе, в обществе, могут послужить основанием прекращения трудовых соглашений (см. п. 8 ст. 81 ТК). Работодатель, его представитель, располагая подобными сведениями, должны иметь в виду, что достоинство личности охраняется государством. Ничто не может быть основанием для его умаления (ч. 1 ст. 21 Конституции РФ).

§ 5. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства (ч. 1 ст. 23 Конституции РФ).

Конституционные права граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах, защищаются Федеральным законом от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации» (СЗ РФ. 1995. N 8. Ст. 609).

Пункт 1 ст. 11 Федерального закона от 20 февраля 1995 г. запрещает сбор, хранение, использование и распространение информации, нарушающей личную тайну, связанную с личностью гражданина и его жизнью.

Частью 1 ст. 24 Конституции РФ предусмотрено, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

§ 6. Некоторые данные о работнике носят конфиденциальный характер. На работодателе лежит обязанность сохранять эту конфиденциальность.

Нарушение режима защиты, обработки и порядка использования информации о гражданах юридическими и физическими лицами, владеющими в соответствии со своими полномочиями такой информацией, влечет ответственность в соответствии с законодательством РФ (см. п. 3 ст. 11 Федерального закона от 20 февраля 1995 г.; ст. 90 ТК).

§ 7. Работники вправе знакомиться со всеми своими персональными данными, имеющимися у работодателя, который обязан обеспечить им эту возможность.

Особенности отнесения некоторой информации к личной

Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет. Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ

Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит

Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.

Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.

В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.

Номер телефона

Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.

Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.

Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона —это персональные сведения.

Электронная почта

Но необходимо учитывать и сам адрес, который может включать возраст, имя, дату рождения, место рождения и прочие сведения о владельце (например, ivanivanov1986@moskva.ru). В этом случае электронная почта относится к личным данным.

Как правило, личная информация собирается в совокупности. Например, при регистрации на каком-то сайте пользователь вводит не только адрес электронной почты, но и имя. В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным.

ИНН, СНИЛС, паспортные данные

В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.

Номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека.

Изменение персональных данных работника

Заявление работника о внесении изменений в документы

Служащему, чьи ПД подверглись видоизменениям, нужно в свободной форме составить заявление, в котором ему необходимо указать причину произошедших изменений, и сказать о коррективах, которые должны быть внесены в существующие документы.

Если вы меняете фамилию, то заявление нужно подать под старой фамилией, потому что в организации вы пока что числитесь под ней.

К своему заявлению необходимо приложить копии соответствующих документов, которые будут подтверждением произошедших изменений.

Приказ о внесении изменений в документы

Никакой необходимости составления работодателем приказа об изменении ПД сотрудника Трудовым законодательством не подкреплено. Но эта необходимость избирается для донесения информации всем заинтересованным лицам (кадровикам и бухгалтерам).

Дата заполненного приказа должна быть идентичной дате, когда служащий подал заявление со всеми предлагающимися копиями документов. Приказ должен быть подписан сотрудником в знак того, что он с ним ознакомлен.

О согласиях на обработку персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

 Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников. 

Например, сообщить о необходимости проверки конфликта интересов.

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо  предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски

Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

 Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в  чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в  частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

• штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
• либо обязательными работами на срок от 120 до 180 часов;
• либо исправительными работами на срок до одного года;
• либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

• штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
• либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• либо арестом на срок от четырех до шести месяцев.

Принципы

Статья 5 Федерального закона №125-ФЗ от 27.07.2006г. (ред. От 29.07.2017г.) «О персональных данных» описывает принципы работы с информацией. Основные принципы:

• Личная информация работников должна обрабатываться согласно действующему законодательству.
• Индивидуальные сведения граждан могут использоваться только для достижения определенных целей, находящихся в рамках закона.
• Объем и суть персональных данных, взятых для обработки, должны соответствовать поставленным целям, без затрагивания избыточных сведений, не нужных для решения существующего вопроса.
• Нельзя объединять базы данных, наполненные персональными сведениями, используемыми для достижения несовместимых целей.
• В процессе работы с личной информацией должна обеспечиваться точность данных, достаточность, актуальность в отношении поставленных руководителем целей.
  СПРАВКА. Ответственное лицо обязано принять меры по уточнению неполных сведений, если выявлена их недостаточность для достижения поставленной задачи.
• Хранить персональные данные следует до тех пор, пока они требуются для обработки с какой-либо целью, если иной промежуток времени не утвержден законодательно либо договором с выгодополучателем.
• Сведения должны содержаться в форме, позволяющей без труда распознать субъекта, к которому они относятся.

Когда необходимость в обработке некоторых данных пропадает, их следует обезличить либо вовсе уничтожить.

Общая структура локального акта и правовая база

При составлении положения следует руководствоваться нормами действующего законодательства России. Документ должен разрабатываться на основании:

• Конституции нашей страны;
• Федерального закона № 152-ФЗ «О персональных данных» (ред. от 21.07.2014);
• ТК РФ;
• иных нормативно-правовых актов.

Законодательная база обуславливает структуру положения о персональных данных работника. В локальный акт рекомендуется включить разделы, которые соответствуют частям (главам, статьям) вышеупомянутого Федерального закона. Такой подход демонстрирует знакомство руководителя ООО, созданной в иной форме компании, предпринимателя с действующими требованиями к сбору, обработке персональной информации сотрудников, ее хранению.

Первый раздел должен содержать общие сведения:

• о законодательных документах – базе для разработки локального акта;
• цели – защите конфиденциальной личной информации от несанкционированного доступа, утраты, разглашения;
• сфере действия;
• терминах, которые употребляются в акте;
• порядке утверждения положения;
• иную информацию.

В других разделах нормативно-правового акта следует рассмотреть вопросы:

• что включается в состав персональных данных;
• на основании каких принципов работающий с привлечением наемных сотрудников ИП либо юрлицо обрабатывают личные сведения;
• из каких документов работодатель получает конфиденциальную персональную информацию;
• как обрабатываются, хранятся сведения;
• какие права, обязанности имеют субъект и оператор личной информации (ИП, руководитель фирмы);
• порядок и право доступа, внутреннего и внешнего, к полученным сведениям;
• как защищается личная информация, ответственность за ее разглашение.