В данной статье будут рассмотрены нормы действующего законодательства, с которыми на практике встречается каждый кредитный кооператив и соблюдение которых практически всегда становится объектом проверок со стороны Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор), а именно: законодательные требования, связанные с обработкой персональных данных работников.
Многие организации основные усилия по реализации требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) сосредотачивают на защите персональных данных клиентов — оно и понятно: согласно статистике Роскомнадзора именно они, а вернее их жалобы, являются основной причиной проведения внеплановых проверок организаций. Но при этом нельзя забывать и о работниках кредитного кооператива, поскольку они, во-первых, являясь субъектами персональных данных, имеют точно такие же права, как заемщики или пайщики, а во-вторых, имеют доступ к персональным данным клиентов, что в отсутствие надлежащих процедур по защите таких данных может привести к негативным последствиям вроде передачи баз данных клиентов конкурентам.
Рассмотрение отношений работодателя и работника в двух вышеуказанных аспектах является целью нашей статьи.
Примеры документов, содержащих персональные данные работников:
Правовое положение работника как субъекта персональных данных определяется в большей части в двух нормативно-правовых актах: 152-ФЗ и гл. 14 Трудового кодекса Российской Федерации (далее — ТК РФ). Из данных документов можно выделить следующие обязанности кредитного кооператива в области соблюдения законодательства о персональных данных:
Помимо вышеуказанных требований действующего законодательства, особое внимание стоит обратить на такой документ, как согласие на обработку персональных данных работника. Формально данный документ не является обязательным, т.к., исходя из ч.5 п.1 ст.6 152-ФЗ (позволяющей в случаях, когда обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных обрабатывать персональные данные без согласия субъекта), кредитный кооператив может обрабатывать персональные данные соискателя и работника без их согласия. Однако на практике согласие на обработку персональных данных желательно по двум причинам: во-первых, это исключит споры с работником о перечне правомерно обрабатываемых персональных данных и позволит осуществлять их передачу третьим лицам (например, кредитной организации для выплаты заработной платы на банковскую карту, страховой организации для оформления полиса дополнительного медицинского страхования и т.д.), а во-вторых, согласие на обработку персональных данных является одним из первых документов, требуемых Роскомнадзором при проверке. Получение согласия работников представляется предпочтительнее споров с Роскомнадзором о наличии правового основания для обработки персональных данных.
При оформлении согласия работников на обработку их персональных данных следует обратить внимание, как минимум, на два момента.
Во-первых, согласно ст. 86 ТК РФ такая обработка может осуществляться лишь в целях:
Во-вторых, стоит обратить внимание на персональные данных работников, содержащиеся в стандартных формах. Очевидно, они не могут быть изменены организацией самостоятельно, в том числе в них нельзя внести и поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, как того требует п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687 (далее — Постановление).
На практике большинство организаций не обращает внимания на данный пункт, исходя как раз из невозможности изменения стандартных форм, однако такой подход несет в себе определенный правовой риск и не учитывает позицию некоторых территориальных управлений Роскомнадзора. Согласно такой позиции при использовании унифицированных форм, утвержденных соответствующими уполномоченными органами, в организации целесообразно оформление дополнительного документа, подписанного субъектом персональных данных, содержащего все указанные в п. 7 Постановления пункты и поля. Документ может содержать перечень типовых форм документов организации, характер информации в которых предполагает или допускает включение в них персональных данных субъекта персональных данных.
Примеры случаев, когда передача персональных данных работников возможна без согласия работников:
Таким образом, проанализировав требования действующего законодательства, можно сделать вывод о значительном количестве норм, направленных на регламентацию порядка обработки персональных данных работника и на защиту его прав, несоблюдение которых может повлечь за собой привлечение к административной и материальной ответственности кредитного кооператива как работодателя.
Проблемы, связанные с работниками, в чью трудовую функцию входит в том числе обработка персональных данных, крайне многочисленны и вследствие отсутствия единой судебной и правоприменительной практики иногда трудно разрешимы. В рамках данной статьи будет рассмотрен лишь вопрос об условиях трудового договора работника, имеющего доступ к базе данных, обеспечивающих ее защиту от неправомерной передачи, например, конкурентам, и условиях, которые впоследствии могли бы стать основанием для привлечения работника к ответственности.
Исходя из смысла ст. 90 ТК РФ работник, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности. Возможным видом дисциплинарной ответственности, кроме замечания и выговора, является также увольнение (расторжение трудового договора по инициативе работодателя) по пп. «в» п. 6 ст. 81 ТК РФ за разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника. При этом необходимо соблюдать порядок наложения дисциплинарных взысканий, предусмотренный ТК РФ.
Согласно ст. 243 ТК РФ, разглашение сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную) является основанием для привлечения к полной материальной ответственности работника (состоит в его обязанности возмещать причиненный работодателю прямой действительный ущерб в полном размере).
Для привлечения работника по данному основанию к полной материальной ответственности необходимо наличие следующих условий:
Включение вышеуказанных условий в трудовой договор и локальные акты кредитного кооператива позволят минимизировать риск утечки персональных данных, в том числе баз данных, третьим лицам. Однако стоит учитывать, что сама по себе возможность ответственности не всегда останавливает людей от противоправных действий по передаче персональных данных. Для ее предотвращения требуется целый комплекс мер, как правого (организационные, юридические меры) и технического характера, так и мер, лежащих вне плоскости правового регулирования (отношение к организации), которые в совокупности позволят обеспечить нормальное функционирование организации и соблюдение норм действующего законодательства.