Насколько эффективна защита персональных данных работников?

(Овсянникова Е.)

(«Трудовое право», 2013, N 2)

НАСКОЛЬКО ЭФФЕКТИВНА ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ?

Е. ОВСЯННИКОВА

Овсянникова Елена, ведущий юрисконсульт.

После принятия специального Закона, регулирующего различные аспекты использования персональных данных, определенности в этой сфере значительно прибавилось. Вместе с тем не все еще понимают, как именно должен быть поставлен процесс защиты личных данных работников на практике и какими локальными актами регламентирован.

Персональные данные субъектов персональных данных обрабатываются в различных целях, в том числе и в связи с трудовыми отношениями. В таком случае работник является субъектом персональных данных, а работодатель — оператором, осуществляющим обработку персональных данных работника.

Защите персональных данных работника в Трудовом кодексе РФ уделено незначительное внимание — всего лишь шесть статей. Однако существуют иные нормативные правовые акты, к которым работодателю следовало бы обращаться при осуществлении обработки персональных данных работника.

Государственные органы, осуществляющие контроль и надзор за соблюдением трудового законодательства и законодательства в сфере информационных технологий, все более усиливают контроль над соблюдением работодателями законодательства по защите прав субъектов персональных данных.

Некоторое время назад работе с персональными данными не уделялось должного внимания. В 2011 г. нормы Закона о защите персональных данных значительно ужесточились.

Практика показывает, что после ужесточения норм Закона о защите персональных данных проверяющие органы и граждане значительно активизировались. Согласно данным Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в 2008 г. поступило 146 обращений граждан на нарушение прав субъектов персональных данных, а уже в 2011 г. — 3920 (http://www. rsoc. ru/personal-data/portal/).

В 2008 г. должностные лица Роскомнадзора провели 76 мероприятий по контролю и надзору (проверок), а в 2011 г. — 1440 плановых и 791 внеплановых проверок (http://www. rsoc. ru/personal-data/portal/).

Так, при проверке ООО «Хоум Кредит энд Финанс Банк» по обращению гражданина Ю. Роскомнадзором было установлено отсутствие у кредитной организации документов, утверждающих перечень лиц, осуществляющих обработку персональных данных указанного гражданина либо имеющих к ним доступ.

По данному факту ООО «Хоум Кредит энд Финанс Банк» были выданы предписания об устранении выявленных нарушений. Материалы проверки направлены в Савеловскую межрайонную прокуратуру г. Москвы для возбуждения административного производства. По результатам прокурорской проверки в отношении юридического лица ООО «Хоум Кредит энд Финанс Банк» возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ.

Напоминаем, что ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ) предусматривает за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предупреждение или наложение административного штрафа на должностных лиц — от пятисот до одной тысячи рублей, на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Согласно Постановлению Пленума Верховного Суда РФ от 24.03.2005 N 5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях» в случае совершения юридическим лицом административного правонарушения и выявления конкретных должностных лиц, по вине которых оно было совершено, допускается привлечение к административной ответственности по одной и той же норме как юридического лица, так и указанных должностных лиц.

Таким образом, к административной ответственности может быть привлечено как должностное лицо, так и юридическое.

Обязанность оператора утвердить перечень лиц, осуществляющих обработку персональных данных субъекта персональных данных, а также ответственного за организацию обработки персональных данных, установлена ст. 88 ТК РФ, Законом о персональных данных, Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Так, Девятый арбитражный апелляционный суд в своем Постановлении от 22 июня 2011 г. N 09АП-12580/2011 оставил апелляционную жалобу ФГУП «Почта России» без удовлетворения.

ФГУП «Почта России» обратилось в Арбитражный суд г. Москвы с заявлением к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Москве и Московской области об оспаривании предписания.

Как следует из материалов дела, Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Москве и Московской области в ФГУП «Почта России» проведена проверка.

По результатам проверки ФГУП «Почта России» выдано предписание, которое ФГУП «Почта России» оспаривает.

Судом установлено, что оспариваемое предписание выдано в связи с нарушением со стороны ФГУП «Почта России» п. 13 Постановления Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» в части отсутствия у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Федеральный арбитражный суд Московского округа своим Постановлением от 11.10.2011 N А40-129853/10-147-806 также указал, что отсутствие в ФГУП «Почта России» места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, является нарушением п. 13 Постановления Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Таким образом, работодателю следует организовать места хранения персональных данных (материальных носителей), установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Как правило, места хранения персональных данных, перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, устанавливаются локальным нормативным актом работодателя.

Принятие работодателем локального нормативного акта, регулирующего порядок обработки персональных данных работников и гарантии их защиты, хранения и использования персональных данных работников, права работников в целях обеспечения защиты, перечень лиц, имеющих доступ к персональным данным работников, а также ответственность за нарушение порядка обработки персональных данных, является обязательным.

Так, Государственной инспекцией труда в г. Москве за многочисленные нарушения трудового законодательства РФ ООО «Кофейня» генеральный директор и юридическое лицо привлечены к административной ответственности в виде штрафа по ст. 5.27 Кодекса РФ об административных правонарушениях, в том числе за отсутствие локального нормативного акта, регулирующего порядок обработки персональных данных работника и гарантии их защиты, хранения и использования персональных данных работников, права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя (http://git77.rostrud. ru/news. shtml/xPages/entry.14002.html).

В своем Постановлении от 17.08.2006 N 09АП-9595/06-АК Девятый арбитражный апелляционный суд установил, что административный штраф по ст. 5.27 КоАП РФ к ООО «НЭФКО-Центр» в размере 30000 руб. применен обоснованно в связи с отсутствием в ООО «НЭФКО-Центр» положения о защите персональных данных работников. Кроме того, работники с таким актом не ознакомлены под роспись.

ОАО «КАРАТ» обратилось в Московский городской суд с жалобой на постановление главного государственного инспектора труда П. от 14.03.2011 о привлечении к административной ответственности в виде штрафа в размере 30700 руб. за отсутствие документов, устанавливающих порядок обработки персональных данных работников.

Своим Постановлением от 29.08.2011 N 4а-1743/11 Московский городской суд оставил жалобу ОАО «КАРАТ» без удовлетворения, пояснив, что п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» устанавливает обязанность юридического лица по изданию документов, определяющих его политику в отношении обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Также аналогичная обязанность закреплена в п. 8 ст. 86 ТК РФ.

Вышеизложенное свидетельствует о том, что работодатель обязан разработать такой локальный нормативный акт, а также ознакомить работников с ним под роспись.

Как правило, в локальном нормативном акте работодателя, регламентирующем обработку персональных данных работника, указываются следующие сведения. Цели и задачи организации в области защиты персональных данных, перечень документов и сведений, содержащих персональные данные работников, сведения о работниках, относящиеся к персональным данным, какие лица и в каком объеме имеют право на получение соответствующего доступа, каким образом работник имеет право знакомиться с имеющимися у работодателя персональными данными, меры ответственности за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, и т. д.

Перечень лиц, имеющих доступ к персональным данным работников, также можно утвердить приказом, с которым лица, указанные в данном приказе, должны быть ознакомлены под роспись.

В соответствии с пп. «в» п. 6 ч. 1 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут работодателем, в том числе в случае разглашения персональных данных другого работника.

Л. обратилась в Московский областной суд с иском к ОАО «АРКТЕЛ» о восстановлении на работе. 16.02.2010 истица была уволена по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных работников. Считает увольнение незаконным, так как информация, которую она направила на свой электронный адрес, не стала достоянием третьих лиц, поскольку не была разглашена.

Судом установлено, что в ходе планового аудита служебной электронной почты работников ОАО «АРКТЕЛ», обрабатывающих персональные данные, была выявлена периодическая рассылка истицей писем, содержащих персональные данные работников компании на почтовый ящик Iirall22@mail. ru, то есть информация была размещена на сервере mail. ru.

Пункт 43 Постановления Пленума Верховного Суда от 17.03.2004 N 2 разъяснил, что в случае оспаривания работником увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что работник обязывался не разглашать персональные данные другого работника, которые стали ему известны в связи с исполнением им трудовых обязанностей.

11.01.2010 генеральным директором ОАО «АРКТЕЛ» был утвержден список сотрудников ОАО «АРКТЕЛ», допущенных к персональным данным сотрудников. В данный список была включена и истица в соответствии с поданной ею заявкой.

18.01.2010 с Л. был проведен инструктаж по работе со сведениями, составляющими коммерческую тайну, и сведениями, отнесенными к конфиденциальной информации.

Дав правовую оценку фактическим обстоятельствам дела в совокупности с представленными сторонами в обоснование своих доводов и возражений доказательствами, суд в своем Определении от 16.09.2010 по делу N 33-18051 пришел к выводу о том, что размещенная в результате неправомерных действий истицы информация, содержащая персональные данные работников ОАО «АРКТЕЛ», стала доступна третьему лицу — ООО «Мэйл. Ру», в связи с чем дисциплинарное взыскание в виде увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ было применено к Л. правомерно.

Также работодателю следует соблюдать порядок привлечения работника к дисциплинарной ответственности, установленный ст. ст. 192, 193 ТК РФ.

При отказе Л. в восстановлении на работе в ОАО «АРКТЕЛ» суд указал, что дисциплинарное взыскание в виде увольнения было наложено в пределах установленного ст. 193 ТК РФ срока и с учетом тяжести проступка. Порядок увольнения был соблюден.

Таким образом, при увольнении работника за разглашение персональных данных другого работника, которые стали ему известны в связи с исполнением им трудовых обязанностей, необходимо утвердить перечень лиц, имеющих доступ к персональным данным других работников, ознакомить данных лиц с указанным перечнем, а также со сведениями, являющимися персональными данными, соблюдать порядок привлечения работника к дисциплинарной ответственности.

Согласно ст. 10 Закона о персональных данных обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.

Так, ФГУП «Почта России» обратилось в Арбитражный суд г. Москвы с заявлением об оспаривании предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Москве и Московской области.

Судом установлено, что в отношении ФГУП «Почта России» Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Москве и Московской области проведена проверка, в результате которой установлен факт нарушения требований ч. 1 ст. 10 Закона о персональных данных о недопустимости осуществления обработки специальных категорий персональных данных, поскольку в ходе проверки выявлено содержание данных об инвалидности в скриншотах из базы данных кадровой службы ФГУП «Почта России» и в анкете кандидата, заполняемой при приеме на работу в ФГУП «Почта России», прилагаемой к регламенту подбора персонала на замещение вакантных должностей аппарата управления ФГУП «Почта России». Обработка данных об инвалидности подпадает под понятие обработки одной из специальных категорий персональных данных, при этом обстоятельства, перечисленные в ч. 2 ст. 10 Закона о персональных данных, отсутствовали.

Постановлением Федерального Арбитражного суда Московского округа от 01.12.20111 N А40-129859/10-146-801 жалоба ФГУП «Почта России» оставлена без удовлетворения.

Таким образом, работодателям следует обратить внимание на ст. 10 Закона о персональных данных, в соответствии с которой при обработке специальных категорий персональных данных требуется получать у субъекта персональных данных письменное согласие на обработку таких персональных данных.

Согласно ч. 4 ст. 9 Закона о персональных данных письменное согласие субъекта персональных данных должно включать фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи и выдавшем его органе; наименование (Ф. И.О.) и адрес оператора, получающего согласие субъекта персональных данных; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие, а также порядок его отзыва; собственноручную подпись субъекта персональных данных.

ЗАО «СевКазТИСИЗ» обратилось в Арбитражный суд Краснодарского края с заявлением о признании недействительным предписаний Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Краснодарскому краю и Республике Адыгея.

Суд установил, что в письменном согласии работника А. Л. Шугайло от 01.04.2010 на обработку его персональных данных отсутствуют цель обработки персональных данных и порядок отзыва согласия, что является нарушением ч. 4 ст. 9 Закона о персональных данных.

Постановлением Федерального Арбитражного суда Северо-Кавказского округа от 27.04.2011 N А32-12882/2010 жалоба ЗАО «СевКазТИСИЗ» оставлена без удовлетворения.

В связи с изложенным в содержание согласия субъекта на обработку его персональных необходимо включать сведения, предусмотренные ч. 4 ст. 9 Закона о персональных данных.

Кроме того, необходимо обратить внимание на следующее. В силу ст. 3 Закона о персональных данных персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Как следует из п. 4 Положения о паспорте гражданина Российской Федерации от 08.07.1997 N 828, в паспорт вносятся следующие сведения о личности гражданина: фамилия, имя, отчество, пол, дата рождения и место рождения.

В соответствии с п. 3 данного Описания паспорта, бланк паспорта имеет нумерацию, которая состоит из 3 групп цифр и обозначает серию бланка паспорта и номер бланка паспорта. Таким образом, серия и номер паспорта относятся не к личности гражданина, а к бланку документа, удостоверяющего его личность, вследствие чего такая информация не может быть отнесена к персональным данным в соответствии с требованиями Федерального закона N 152-ФЗ «О персональных данных». Данная позиция отражена также в Определении Московского городского суда от 29.02.2012 N 33-6709.

Итак, к оформлению документов, определяющих политику работодателя в отношении обработки персональных данных, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о персональных данных, устранение последствий таких нарушений, а также к ознакомлению работников с данными документами под роспись стоит подойти со всей серьезностью, так как это является необходимым условием эффективности функционирования системы защиты персональных данных работников.

——————————————————————