В данной статье будут рассмотрены нормы действующего законодательства, с которыми на практике встречается каждый кредитный кооператив и соблюдение которых практически всегда становится объектом проверок со стороны Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор), а именно: законодательные требования, связанные с обработкой персональных данных работников.

РАБОТНИК КАК СУБЪЕКТ ПЕРСОНАЛЬНЫХ ДАННЫХ

Многие организации основные усилия по реализации требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) сосредотачивают на защите персональных данных клиентов — оно и понятно: согласно статистике Роскомнадзора именно они, а вернее их жалобы, являются основной причиной проведения внеплановых проверок организаций. Но при этом нельзя забывать и о работниках кредитного кооператива, поскольку они, во-первых, являясь субъектами персональных данных, имеют точно такие же права, как заемщики или пайщики, а во-вторых, имеют доступ к персональным данным клиентов, что в отсутствие надлежащих процедур по защите таких данных может привести к негативным последствиям вроде передачи баз данных клиентов конкурентам.

Рассмотрение отношений работодателя и работника в двух вышеуказанных аспектах является целью нашей статьи.

Примеры документов, содержащих персональные данные работников:

• Анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу. В этих документах содержатся анкетные и биографические данные работника;
• Копия документа, удостоверяющего личность работника. Здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа;
• Личная карточка № Т-2. В ней указываются фамилия, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и пр.

Правовое положение работника как субъекта персональных данных определяется в большей части в двух нормативно-правовых актах: 152-ФЗ и гл. 14 Трудового кодекса Российской Федерации (далее — ТК РФ). Из данных документов можно выделить следующие обязанности кредитного кооператива в области соблюдения законодательства о персональных данных:

• Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие, предпочтительнее в виде отдельного документа;
• Организация не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, а также персональные данные, касающиеся состояния здоровья, за исключением сведений о возможности выполнения работником трудовой функции (исходя из практики, сведения (персональные данные), содержащиеся в т.н. «больничных листах», справках о беременности, Инвалидности не относятся к сведениям о состоянии здоровья и могут обрабатываться кредитным кооперативом);
• Ознакомить работников под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. В действующем законодательстве отсутствует четкий перечень документов, с которыми должен быть ознакомлен работник. Исходя из правоприменительной практики, таким документами должны быть Положение об обработке персональных данных, Политика обработки персональных данных и иные локальные акты, в которых определяется порядок обработки персональных данных и которые издаются кооперативом самостоятельно. Причем, что неоднократно подтверждалось судебной практикой, ознакомить работника с вышеуказанными документами необходимо до заключения трудового договора. В целях защиты интересов кредитного кооператива также целесообразно заключить с работниками соглашение о конфиденциальности;
• Разрешать только специально уполномоченным лицам доступ к персональным данным работников, необходимым для выполнения конкретных функций (данная обязанность может быть исполнена путем издания двух приказов: о назначении ответственного за обработку персональных данных в кооперативе и разграничении доступа работников к персональным данным в кооперативе);
• Требовать от лиц, получающих персональные данные работников, соблюдение вышеуказанных требований. Исходя из разъяснений Управления Роскомнадзора по республике Саха (Якутия) в отношении третьих лиц, которым передаются персональные данные работника, требования ст. 88 ТК РФ возможно реализовать в виде обмена между работодателем и третьей стороной документами, в которых содержатся указанные в статье требования. Например, при передаче персональных данных работника работодатель в сопроводительном документе указывает, что персональные данные могут быть использованы только в целях, для которых они сообщаются, и просит в ответ направить подтверждение исполнения указанного требования. В свою очередь, получатель персональных данных направляет работодателю ответ, в котором указывается, что полученные персональные данные будут им использоваться исключительно в указанных целях. В целом с такой позицией следует согласиться. На наш взгляд, еще одним способом соблюдения требований ст. 88 ТК РФ в случаях передачи персональных данных в рамках гражданско-правового договора с третьим лицом может быть включение в договор условия о неразглашении передаваемых персональных данных и ограничений при их обработке;
• Обеспечить защиту персональных данных работника от неправомерного использования или утраты за счет собственных средств (данное требование исполняется путем реализации организационных, юридических и технических мер, полный перечень которых из-за ограничений в объеме не представляется возможным привести в настоящей статье).

Помимо вышеуказанных требований действующего законодательства, особое внимание стоит обратить на такой документ, как согласие на обработку персональных данных работника. Формально данный документ не является обязательным, т.к., исходя из ч.5 п.1 ст.6 152-ФЗ (позволяющей в случаях, когда обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных обрабатывать персональные данные без согласия субъекта), кредитный кооператив может обрабатывать персональные данные соискателя и работника без их согласия. Однако на практике согласие на обработку персональных данных желательно по двум причинам: во-первых, это исключит споры с работником о перечне правомерно обрабатываемых персональных данных и позволит осуществлять их передачу третьим лицам (например, кредитной организации для выплаты заработной платы на банковскую карту, страховой организации для оформления полиса дополнительного медицинского страхования и т.д.), а во-вторых, согласие на обработку персональных данных является одним из первых документов, требуемых Роскомнадзором при проверке. Получение согласия работников представляется предпочтительнее споров с Роскомнадзором о наличии правового основания для обработки персональных данных.

При оформлении согласия работников на обработку их персональных данных следует обратить внимание, как минимум, на два момента.

Во-первых, согласно ст. 86 ТК РФ такая обработка может осуществляться лишь в целях:

• обеспечения соблюдения законов и иных нормативных правовых актов;
• содействия работникам в трудоустройстве, обучении и продвижении по службе;
• обеспечения личной безопасности работников;
• контроля количества и качества выполняемой работы;
• обеспечения сохранности имущества.

Во-вторых, стоит обратить внимание на персональные данных работников, содержащиеся в стандартных формах. Очевидно, они не могут быть изменены организацией самостоятельно, в том числе в них нельзя внести и поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, как того требует п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687 (далее — Постановление).

На практике большинство организаций не обращает внимания на данный пункт, исходя как раз из невозможности изменения стандартных форм, однако такой подход несет в себе определенный правовой риск и не учитывает позицию некоторых территориальных управлений Роскомнадзора. Согласно такой позиции при использовании унифицированных форм, утвержденных соответствующими уполномоченными органами, в организации целесообразно оформление дополнительного документа, подписанного субъектом персональных данных, содержащего все указанные в п. 7 Постановления пункты и поля. Документ может содержать перечень типовых форм документов организации, характер информации в которых предполагает или допускает включение в них персональных данных субъекта персональных данных.

Примеры случаев, когда передача персональных данных работников возможна без согласия работников:

• При несчастном случае с работником работодатель обязан проинформировать соответствующие органы и организации, а при тяжелом несчастном случае (или смерти) — также его родственников. В данной ситуации согласия работника на передачу его персональных данных не требуется (ст. 228 ТК РФ).
• Работодатель также обязан предоставить персональные данные работников государственным инспекторам труда при осуществлении ими надзорно-контрольной деятельности (ст. 357 ТК РФ).
• Ряд случаев согласно ст. 9 Федерального закона от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».

Таким образом, проанализировав требования действующего законодательства, можно сделать вывод о значительном количестве норм, направленных на регламентацию порядка обработки персональных данных работника и на защиту его прав, несоблюдение которых может повлечь за собой привлечение к административной и материальной ответственности кредитного кооператива как работодателя.

РАБОТНИК КАК ЛИЦО, ИМЕЮЩЕЕ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ ТРЕТЬИХ ЛИЦ (ЗАЕМЩИКОВ, ДРУГИХ РАБОТНИКОВ И ПРОЧЕЕ)

Проблемы, связанные с работниками, в чью трудовую функцию входит в том числе обработка персональных данных, крайне многочисленны и вследствие отсутствия единой судебной и правоприменительной практики иногда трудно разрешимы. В рамках данной статьи будет рассмотрен лишь вопрос об условиях трудового договора работника, имеющего доступ к базе данных, обеспечивающих ее защиту от неправомерной передачи, например, конкурентам, и условиях, которые впоследствии могли бы стать основанием для привлечения работника к ответственности.

Исходя из смысла ст. 90 ТК РФ работник, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности. Возможным видом дисциплинарной ответственности, кроме замечания и выговора, является также увольнение (расторжение трудового договора по инициативе работодателя) по пп. «в» п. 6 ст. 81 ТК РФ за разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника. При этом необходимо соблюдать порядок наложения дисциплинарных взысканий, предусмотренный ТК РФ.

Согласно ст. 243 ТК РФ, разглашение сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную) является основанием для привлечения к полной материальной ответственности работника (состоит в его обязанности возмещать причиненный работодателю прямой действительный ущерб в полном размере).

Для привлечения работника по данному основанию к полной материальной ответственности необходимо наличие следующих условий:

• принадлежность разглашенной информации к сведениям, составляющим государственную, служебную, коммерческую или иную охраняемую законом тайну (согласно ст.7 152-ФЗ персональные данные относятся к охраняемой законом тайне);
• доступ работника к сведениям, составляющим охраняемую законом тайну. Такой доступ подразумевает оформление письменного документа (как правило, приказа, с которым ознакомлен работник, и соглашения о конфиденциальности в качестве дополнительного соглашения к трудовому договору), в котором указано, какие сведения работник обязуется не разглашать в связи с выполнением своих трудовых обязанностей;
• распространение работником сведений, составляющих охраняемую законом тайну. При привлечении работника к полной материальной ответственности работодатель должен иметь доказательства сообщения работником сведений сторонним лицам (на практике данное обстоятельно доказать достаточно сложно, как правило, в качестве доказательств используются программные средства фиксации действии работника);
• прямой действительный ущерб, причиненный работодателю разглашением работником сведений, которые составляют охраняемую законом тайну (на практике с доказыванием размера ущерба также возникают значительные проблемы ввиду отсутствия общепризнанных методик оценки стоимости информации и тем более баз данных).

Включение вышеуказанных условий в трудовой договор и локальные акты кредитного кооператива позволят минимизировать риск утечки персональных данных, в том числе баз данных, третьим лицам. Однако стоит учитывать, что сама по себе возможность ответственности не всегда останавливает людей от противоправных действий по передаче персональных данных. Для ее предотвращения требуется целый комплекс мер, как правого (организационные, юридические меры) и технического характера, так и мер, лежащих вне плоскости правового регулирования (отношение к организации), которые в совокупности позволят обеспечить нормальное функционирование организации и соблюдение норм действующего законодательства.