Вопросы правового регулирования защиты персональных данных работников организаций, осуществляющих образовательную деятельность

ВОПРОСЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ

ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

РАБОТНИКОВ ОРГАНИЗАЦИЙ, ОСУЩЕСТВЛЯЮЩИХ ОБРАЗОВАТЕЛЬНУЮ ДЕЯТЕЛЬНОСТЬ

Информационный бюллетень №1

Предисловие

Уважаемые коллеги!


В настоящем информационном бюллетене рассматриваются актуальные вопросы, связанные с защитой персональных данных работников организаций, осуществляющих образовательную деятельность.

Сборник содержит комментарии по вопросам правового регулирования сбора и обработки персональных данных работников, реализации прав профсоюзов, связанных с доступом к персональным данным работников, системы государственного контроля (надзора) в области персональных данных, а также практико-ориентированный комментарий по вопросу надлежащего оформления документов по защите персональных данных работников организаций, осуществляющих образовательную деятельность, требования к сайту образовательной организации.

Сборник рассчитан на широкий круг работников сферы образования, руководителей образовательных учреждений (организаций), правовых инспекторов труда Профсоюза, юристов территориальных организаций Профсоюза, а также на иных работников, связанных с вопросами сбора и обработки персональных данных работников организаций, осуществляющих образовательную деятельность.

Обращаем Ваше внимание, что Рекомендации по обеспечению защиты персональных данных работников образовательных учреждений (Приложение к письму ЦС Профсоюза от 28 декабря 2010 г. № 345/295), направленные ранее для использования в практической деятельности профсоюзных организаций, а также формы документов, содержащихся в указанных Рекомендациях, следует применять с учетом новых требований, изложенных в настоящем сборнике.

Надеемся, что материалы сборника будут полезны в практической деятельности по защите социально-трудовых прав работников образовательных организаций, в том числе при проведении проверок по этим вопросам.


Заместитель Председателя Профсоюза М.В. Авдеенко

Сборник подготовлен в правовом отделе аппарата Профсоюза под общей редакцией заведующего правовым отделом – главного правового инспектора труда ЦС Профсоюза С.Б. Хмелькова.

Составитель сборника: правовой инспектор труда ЦС Профсоюза И.Б. Алексеева.


СОДЕРЖАНИЕ

Стр.

Часть I. Правовое регулирование сбора и обработки персональных данных работников образовательных организаций

Раздел 1. Общие положения

4-7

Раздел 2. Нормативные правовые акты по вопросам, касающимся обработки персональных данных

7-8

Раздел 3. Правовое регулирование оборота персональных данных

8-12

Раздел 4. Реализация прав профсоюзов, связанных с доступом к персональным данным работников

13-16

Раздел 5. Ответственность за нарушение норм, регулирующих защиту персональных данных

16-19

Раздел 6. Система государственного контроля (надзора) в области персональных данных

19

Часть II. Оформление документов по защите персональных данных работников

Раздел 1. Понятие персональных данных

20-21

Раздел 2. Документы, содержащие персональные данные

21-22

Раздел 3. Обязанности работодателя по обеспечению защиты персональных данных работников

22-25

Раздел 4. Локальные акты организации

25-28

Раздел 5. Оформление согласия работника на передачу его персональных данных

28-32

Раздел 6. Получение персональных данных у работника

32-33

Раздел 7. Получение персональных данных работника у третьих лиц. Согласие работника на получение работодателем персональных данных у третьих лиц

33-34

Раздел 8. Порядок внесения изменений в документы, содержащие персональные данные работника

34-35

Раздел 9. Права и обязанности работников, связанные с обработкой и защитой их персональных данных

35-37

Раздел 10. Требования к сайту образовательной организации

37-43


Часть I. ПРАВОВОЕ РЕГУЛИРОВАНИЕ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОБРАЗОВАТЕЛЬНЫХ ОРГАНИЗАЦИЙ

Раздел 1. ОБЩИЕ ПОЛОЖЕНИЯ

Защита персональных данных представляет собой комплекс правовых, организационных и технических мер, направленных на обеспечение защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

Согласно ст. 2 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) его целью является защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну.

Под оператором персональных данных законодатель подразумевает государственный либо муниципальный орган, юридическое или физическое лицо, которые организуют или осуществляют обработку персональных данных, заключающуюся в их сборе, записи, систематизации, накоплении, хранении, уточнении, извлечении, использовании, передаче, обезличивании, блокировании, удалении и уничтожении. Таким образом, любая организация или государственный муниципальный орган становится оператором персональных данных с момента получения в распоряжение данных любого лица (работника, подрядчика) и обязана обеспечить их защиту в соответствии с требованиями Закона о персональных данных.

Закон о персональных данных определяет требования к сбору и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) персональных данных физических лиц во всех сферах, где используются персональные данные, в том числе в сфере трудовых правоотношений, возникающих в организациях, осуществляющих образовательную деятельность, с учетом особенностей, предусмотренных ТК РФ.

В соответствии со ст. 3 Закона о персональных данных обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно ст. 5 Закона о персональных данных при обработке персональных данных должны соблюдаться следующие принципы:

1) обработка должна осуществляться на законной и справедливой основе;

2) обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;

3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4) обработке подлежат только те персональные данные, которые отвечают целям обработки;

5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;

6) при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях - актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

7) форма хранения персональных данных должна позволять определять субъекта этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

В настоящее время очень актуальным стал вопрос об обработке и хранении так называемых избыточных персональных данных[1].

Суды, при вынесении решений по подобным делам, руководствуются тем, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность. Сбор информации о серии и номере паспорта, годе и месте рождения, поле субъекта персональных данных, национальности и т.д. является избыточным.

Соответственно, хранение любых документов, содержащих в себе эти данные (копии паспорта, свидетельства о рождении детей, документы воинского учета, документы об образовании, фотографии[2] и т.д.) противоречит законодательству, так как таким образом превышается объем обрабатываемых персональных данных работника, установленный Конституцией РФ, Трудовым кодексом Российской Федерации и иными федеральными законами.

В соответствии с ч. 1 ст. 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) выступает таким уполномоченным органом, который утверждает образец уведомления об обработке (о намерении осуществлять обработку) персональных данных и Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных[3].

Частью 2 статьи 22 Закона о персональных данных установлен перечень случаев, когда операторы не обязаны соблюдать обязательное требование об уведомлении Роскомнадзора о начале деятельности по обработке персональных данных:

- при обработке таких данных в соответствии с трудовым законодательством (ст. 86 ТК РФ);

- когда обрабатываемые данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются и не предоставляются третьим лицам без согласия этого субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

- когда данные относятся к членам общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией, действующими по законодательству РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

- субъект персональных данных сделал их общедоступными;

- данные включают в себя только фамилии, имена и отчества субъектов персональных данных;

- данные необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

- персональные данные включены в информационные системы, имеющие в соответствии с законодательством статус государственных автоматизированных информационных систем, а также в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;

- данные обрабатываются без использования средств автоматизации в соответствии с требованиями законодательства РФ;

- данные обрабатываются в случаях, предусмотренных транспортным законодательством, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Во всех иных случаях обработки персональных данных оператор обязан заблаговременно (до начала обработки) уведомлять Роскомнадзор о начале такой деятельности.

Таким образом, частью 2 статьи 22 Закона о персональных данных установлено, что оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных лиц, которых связывают с оператором трудовые отношения. Следовательно, организации, осуществляющие образовательную деятельность, не должны уведомлять этот уполномоченный орган об обработке ими персональных данных работников, состоящих в трудовых отношениях с этими организациями.

Раздел 2. НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ ПО ВОПРОСАМ, КАСАЮЩИМСЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Согласно ч. 1 ст. 23 Конституции РФ (далее – Конституция РФ) каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

Общие и специальные положения о защите персональных данных работников регламентируются в соответствии с Конституцией РФ следующими федеральными законами:

§ Трудовым кодексом Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (далее – ТК РФ);

§ Федеральным законом 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации);

§ Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

В соответствии с этими федеральными законами и в их развитие приняты подзаконные нормативные правовые акты:

§ Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

§ Постановление Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

§ Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

§ Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

§ Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 декабря 2012 г. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (далее – Разъяснения Роскомнадзора).

Кроме того, непосредственно действующими на территории Российской Федерации являются акты международного права, например, модельный закон «О персональных данных», принятый постановлением от 16.10.1999 № 14-19 на 14-м пленарном заседании Межпарламентской Ассамблеи государств - участников СНГ.

С 1 сентября 2013 г. вступила в силу на территории Российской Федерации Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108) от 28 января 1981 г. (далее - Конвенция) (ратифицирована Федеральным законом от 19.12.2005 № 160-ФЗ).

Кроме того, на локальном уровне должны приниматься нормативные и иные акты в целях обеспечения защиты персональных данных работников.

Раздел 3. ПРАВОВОЕ РЕГУЛИРОВАНИЕ ОБОРОТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Федеральным законодательством Российской Федерации установлен особый правовой режим оборота персональных данных.

Согласно статье 7 Конвенции для защиты персональных данных, хранящихся в автоматизированных базах данных, принимаются надлежащие меры безопасности, направленные на предотвращение их случайного или несанкционированного уничтожения или случайной потери, а также на предотвращение несанкционированного доступа, их изменения или распространения таких данных.

Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» персональные данные (сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность) отнесены к категории конфиденциальной информации.

Законом о персональных данных в статье 7 предусмотрено, что операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.

Статьей 9 Закона об информации также установлено, что обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Согласно ст. 19 Закона о персональных данных, оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Законом об информации (п. 4 ст. 16) установлено, что обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации; предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; постоянный контроль за обеспечением уровня защищенности информации.

Статьей 24 Закона о персональных данных и статьей 17 Закона об информации предусмотрена дисциплинарная, гражданско-правовая, административная и уголовная ответственность для лиц, виновных в нарушении данных требований.

Приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 18 февраля 2013 г. № 21 утверждены Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных.

Согласно п. 3 ст. 4 Закона о персональных данных порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ.

В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 № 687 (далее - Положение), в пункте 1 которого уточняется, что если использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека, то такая обработка считается осуществленной без использования средств автоматизации (неавтоматизированной).

Под автоматизированной обработкой, согласно ст. 3 Закона о персональных данных, понимается обработка данных с помощью средств вычислительной техники. Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения).

Персональные данные работников обрабатывает уполномоченный на это представитель работодателя. Следовательно, он должен руководствоваться правилами, предусмотренными для обработки персональных данных без использования средств автоматизации.

Согласно п. 4 Положения персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях.

Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для каждой категории персональных данных должен использоваться отдельный материальный носитель (п. 5 Положения).

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. работники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), согласно п. 6 Положения должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

Условия, которые необходимо соблюдать при использовании типовых форм документов, предполагающих или допускающих включение в них персональных данных (например, унифицированных форм первичной учетной документации по учету труда и его оплаты, утвержденных Постановлением Госкомстата России от 05.01.2004 № 1[4]) изложены в п.7 Положения.

В соответствии с пп. «а» п. 7 Положения типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; фамилию, имя, отчество и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения данных; сроки их обработки; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных.

Типовая форма должна содержать поле, в котором субъект персональных данных может проставить отметку о согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения такого согласия (пп. «б» п. 7 Положения).

При этом форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов иных субъектов персональных данных (пп. «в» п. 7 Положения). Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы (пп. «г» п. 7 Положения).

Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 утверждены «Требования к защите персональных данных при их обработке в информационных системах персональных данных» (далее - Требования). Согласно пункту 2 Требований система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

В соответствии с пунктом 6 Требований под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Большинство организаций используют электронные системы хранения и обработки персональных данных.

Для обработки персональных данных работников организации, как правило, необходим 4 (минимальный) уровень защиты персональных данных.

Согласно п.13 Требований для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

В соответствии со ст. 21 Закона о персональных данных оператор (работодатель) также обязан:

- осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения субъекта персональных данных или его законного представителя либо получения запроса уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора на период проверки.

В случае подтверждения факта недостоверности персональных данных работодатель на основании документов, представленных работником персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;

- устранить допущенные нарушения в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган;

- незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в случае достижения цели обработки персональных данных в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган;

- прекратить обработку персональных данных и уничтожить персональные данные в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Раздел 4. РЕАЛИЗАЦИЯ ПРАВ ПРОФСОЮЗОВ, СВЯЗАННЫХ С ДОСТУПОМ К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКОВ

Вопрос о предоставлении персональных данных третьим лицам и объем данной информации все чаще становится предметом разбирательства в судебных инстанциях. Для представителей работников в лице профсоюзной организации и ее выборных органов в этом отношении особый интерес представляет Определение Верховного Суда РФ от 20 июля 2012 г. № 56-КГ12-3, которым подтверждено право профсоюзных организаций на получение от работодателя информации по социально-трудовым вопросам, необходимой для осуществления профсоюзного контроля.

В соответствии с ч. 1 ст. 11 Федерального закона от 12 января 1996 года № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» (далее – Закон о профсоюзах) профсоюзы, их объединения (ассоциации), первичные профсоюзные организации и их органы представляют и защищают права и интересы членов профсоюзов по вопросам индивидуальных трудовых и связанных с трудом отношений, а в области коллективных прав и интересов - указанные права и интересы работников независимо от членства в профсоюзах в случае наделения их полномочиями на представительство в установленном порядке.

Право на осуществление профсоюзами контроля за соблюдением работодателями и их представителями трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, в том числе по вопросам защиты персональных данных работников, выполнением ими условий коллективных договоров, соглашений установлено также статьей 370 ТК РФ.

Право первичных профсоюзных организаций осуществлять профсоюзный контроль за выполнением коллективных договоров и соглашений предусмотрено ч. 3 ст. 13 Закона о профсоюзах. В соответствии с ч. 1 ст. 17 указанного Закона профсоюзы вправе бесплатно и беспрепятственно получать от работодателя информацию по социально-трудовым вопросам. Согласно ч. 5 ст. 11 Закона о профсоюзах профсоюзные представители вправе беспрепятственно посещать организации и рабочие места, где работают члены соответствующих профсоюзов, для реализации уставных задач и предоставленных профсоюзам прав.

В соответствии со статьями 40 и 41 ТК РФ коллективный договор - правовой акт, регулирующий социально-трудовые отношения в организации и заключаемый работниками и работодателем в лице их представителей. Содержание и структура коллективного договора определяются сторонами и в него могут включаться обязательства работников и работодателя по следующим вопросам: формам, системам и размерам оплаты труда, рабочему времени и времени отдыха и другим вопросам, определенным сторонами.

В силу действия ст. 31 ТК РФ контроль за выполнением коллективного договора, соглашения осуществляется сторонами социального партнерства, их представителями, соответствующими органами по труду. При проведении указанного контроля представители сторон обязаны предоставлять друг другу необходимую для этого информацию не позднее одного месяца со дня соответствующего запроса.

В соответствии со статьей 19 указанного Закона профсоюзы имеют право на осуществление профсоюзного контроля за соблюдением работодателями, должностными лицами законодательства о труде, в том числе по вопросам трудового договора (контракта), рабочего времени и времени отдыха, оплаты труда, гарантий и компенсаций, льгот и преимуществ, а также по другим социально-трудовым вопросам в организациях, в которых работают члены данного профсоюза, и имеют право требовать устранения выявленных нарушений. Работодатели, должностные лица обязаны в недельный срок с момента получения требования об устранении выявленных нарушений сообщить профсоюзу о результатах его рассмотрения и принятых мерах.

Профсоюзные инспекторы труда вправе беспрепятственно посещать любых работодателей (организации независимо от форм собственности и подчиненности), у которых работают члены данного профсоюза, для проведения проверок соблюдения законодательства о труде и законодательства о профсоюзах, а также выполнения работодателями условий коллективного договора, соглашения.

Профсоюзные инспекторы труда имеют право:

- осуществлять контроль за соблюдением работодателями трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права;

- направлять работодателям представления об устранении выявленных нарушений трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, обязательные для рассмотрения;

- обращаться в соответствующие органы с требованием о привлечении к ответственности лиц, виновных в нарушении трудового законодательства и иных актов, содержащих нормы трудового права, сокрытии фактов несчастных случаев на производстве.

Устав Профессионального союза работников народного образования и науки РФ и Положение о правовой инспекции труда Профсоюза определяют полномочия профсоюзных представителей по вопросу осуществления профсоюзного контроля и другим вопросам, относящимся к уставной деятельности.

В Письме Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Роскомнадзора от 27 июня 2011 г. № ШР-13444 «О результатах рассмотрения обращения» разъясняется, что в соответствии с ч. 1 ст. 19 Федерального закона от 12 января 1996 г. № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» для осуществления своей уставной деятельности профессиональные союзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений, органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам.

Согласно ст. 370 ТК РФ профессиональные союзы имеют право на осуществление контроля за соблюдением работодателями и их представителями трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, выполнением ими условий коллективных договоров, соглашений.

Следует иметь в виду, что не требуется согласие работников, предусмотренное ст. 88 ТК РФ, для передачи персональных данных для целей профсоюзного контроля, поскольку в соответствии с п. 2 ч. 1 ст. 6 Закона о персональных данных согласие субъекта персональных данных не требуется в случае, если обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, каковым в силу действия п. 2 ч. 1 ст. 3 указанного Закона выступает первичная профсоюзная организация, осуществляя мероприятия по защите трудовых прав работников.

Запрашивая у работодателя информацию и требуя предоставления локальных нормативных актов по социально-трудовым вопросам, первичная профсоюзная организация действует в целях исполнения условий коллективного договора, что в соответствии с п. 5 ч. 1 ст. 6 Закона о персональных данных является дополнительным основанием для обработки персональных данных в целях исполнения договора без согласия субъекта персональных данных, являющегося одной из сторон договора.

При этом также следует учитывать, что в силу ст. 6 Закона о персональных данных предусмотрена возможность обработки персональных данных и в случаях, когда их обработка необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных и когда обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

Поэтому действия представителей работников профессионального союза в части, касающейся запроса и получения от работодателя документов, содержащих персональные данные работников, необходимых для осуществления профессионального контроля за соблюдением трудового законодательства, подпадают под исключение, предусмотренное ст. 6 Закона о персональных данных, и не требуют согласия указанных лиц на обработку их персональных данных.

Таким образом, в целях реализации полномочий, установленных федеральными законами и предусмотренных в Уставе Профсоюза и иных профсоюзных нормативных документах, профсоюзные организации вправе запрашивать и получать от работодателя информацию, в том числе относящуюся к персональным данным работников, для осуществления в полном объеме функций, возложенных на него в силу закона.

При этом представители профессионального союза, получившие документы, содержащие персональные данные работника, обязаны соблюдать требования конфиденциальности и безопасности при их обработке, а также обеспечить их использование только в целях, для достижения которых они были представлены.

Также следует иметь в виду, что в соответствии со ст. 5 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» к сведениям, которые не могут составлять коммерческую тайну, отнесены в частности:

- сведения о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

- о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

- о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений.

Наряду с этим предусмотрено, что не могут являться коммерческой тайной сведения о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации, а также обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Следовательно, организации, осуществляющие образовательную деятельность, являющиеся некоммерческими организациями, обязаны в установленных федеральным законодательством случаях, в том числе в рамках реализации предусмотренного Законом о профсоюзах права на информацию (ст. 17), представлять по запросу профсоюзной организации сведения о численности и об оплате труда работников организации, осуществляющей образовательную деятельность.

Раздел 5. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии со статьей 24 Закона о персональных данных и статьей 17 Закона об информации лица, виновные в нарушении требований к защите персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Необходимо иметь в виду, что за нарушение законодательства о персональных данных ответственность будут нести лицо, допустившее нарушение (единоличный исполнительный орган), и организация в целом.

В соответствии со ст. 13.11 Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (далее - КоАП РФ) нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

- на граждан - от 300 до 500 руб.;

- на должностных лиц - от 500 до 1000 руб.;

- на юридических лиц - от 5000 до 10 000 руб.

Так же, исходя из смысла ст. 90 ТК РФ работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.

На основании ст. ст. 2, 3, 5, 6 Закона о персональных данных персональные данные относятся к информации, доступ к которой ограничен. В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

- на граждан - от 500 до 1000 руб.;

- на должностных лиц - от 4000 до 5000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа.

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также может быть основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Согласно пп. «в» п. 6 ч. 1 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных другого работника. Поскольку такое увольнение относится к увольнениям за нарушение трудовой дисциплины, то работник, разгласивший персональные данные, должен быть уволен с соблюдением процедуры, предусмотренной ст. 193 ТК РФ.

В случае если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности.

В соответствии со ст. 137 Уголовного кодекса Российской Федерации от 13.06.1996 № 63-ФЗ незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в сумме до 200 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

Часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

В случае если в результате незаконного распространения информации о персональных данных работника последнему был причинен моральный вред, он подлежит возмещению работодателем. В свою очередь в соответствии со ст. 238 ТК РФ работник обязан возместить работодателю причиненный последнему прямой действительный ущерб. Согласно ч. 2 указанной статьи под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. Следовательно, если вред работнику был допущен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь данное лицо к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с п. 7 ч. 1 ст. 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Кроме того, если работнику причинен имущественный ущерб или моральный вред, он может требовать привлечения к гражданско-правовой ответственности лица, ответственного за осуществление вышеперечисленных действий с персональными данными, виновного в нарушении норм, регулирующих хранение, обработку и использование персональных данных работника, допущенного

В соответствии со ст. 151 Гражданского кодекса Российской Федерации (далее - ГК РФ), если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в иных случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. Согласно ч. 2 ст. 1099 ГК РФ моральный вред, причиненный действиями (бездействием), нарушающими имущественные права гражданина, подлежит компенсации в случаях, предусмотренных законом. На основании ст. 152 ГК РФ гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности.

Раздел 6. СИСТЕМА ГОСУДАРСТВЕННОГО КОНТРОЛЯ (НАДЗОРА) В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Система государственного контроля (надзора) в области персональных данных строится на функционировании трех регуляторов, ответственных за определенные области деятельности в сфере персональных данных.

Основным регулятором, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, является уполномоченный орган по защите прав субъектов персональных данных - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), территориальные органы которой действуют в каждом субъекте РФ. Права и обязанности этого уполномоченного органа устанавливаются положением о нем в соответствии со ст. 23 Закона о персональных данных.

Вторым регулятором, осуществляющим контроль за осуществлением мер по технической защите информационных систем обработки персональных данных, является Федеральная служба по техническому и экспортному контролю (ФСТЭК) и ее территориальные органы.

Третьим регулятором является федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, - Федеральная служба безопасности (ФСБ), которая устанавливает особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах и осуществляет контроль в этой области.

Кроме того, следует иметь в виду, что федеральная инспекция труда, представляющая собой в соответствии со ст. 354 ТК РФ единую централизованную систему, состоящую из федерального органа исполнительной власти и его территориальных органов (государственных инспекций труда), является уполномоченным органом на проведение государственного контроля (надзора) за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, в том числе по вопросам соблюдения требований трудового законодательства в области защиты персональных данных работников.

Часть II. ОФОРМЛЕНИЕ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

РАБОТНИКОВ

Раздел 1. ПОНЯТИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные, согласно п. 1 ст. 3 Закона о персональных данных, это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

К ним относятся:

- фамилия, имя, отчество;

- пол, возраст;

- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

- место жительства;

- семейное положение, наличие детей, родственные связи;

- факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

- финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);

- деловые и иные личные качества, которые носят оценочный характер;

- прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.

Кроме общих персональных данных Закон о персональных данных выделяет также категории персональных данных, такие как:

- специальные персональные данные (категория персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). Обработка указанной категории данных не допускается, за исключением случаев, предусмотренных п. 4 ст. 86 ТК РФ и ч. 2 ст. 10 Закона о персональных данных;

- биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность). Указанные сведения могут быть обработаны только с согласия субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

В судебной практике встречаются споры об отнесении той или иной категории данных к персональным данным работника. Работники, в частности, пытаются оспорить законность получения работодателем сведений о них по месту учебы или исполнения должностных обязанностей работников. Особенно часто к персональным данным пытаются отнести фамилию работника, которая в любом случае должна фигурировать в любом запросе относительно его от работодателя. Суды полагают, что, поскольку работник сам дал согласие на обработку его фамилии, предоставил ее в законном порядке, включение ее в документацию, которую должен подписывать работник, в запросы работодателя относительно работника и иные подобные документы вполне правомерно[5].

Раздел 2. ДОКУМЕНТЫ, СОДЕРЖАЩИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Исходя из определения персональных данных, которое дано в ст. 3 Закона о персональных данных, такие сведения могут содержаться в следующих документах:

- анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу. В этих документах содержатся анкетные и биографические данные работника;

- копия документа, удостоверяющего личность работника. Здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа;

- личная карточка № Т-2[6] или иной первичный учетный документ. В нем указываются фамилия, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и пр.;

- трудовая книжка или ее копия. Содержит сведения о трудовом стаже, предыдущих местах работы;

- копии свидетельств о заключении брака, рождении детей. Такие документы содержат сведения о составе семьи, которые могут понадобиться работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством;

- документы воинского учета. Содержат информацию об отношении работника к воинской обязанности и необходимы работодателю для осуществления в организации воинского учета работников;

- справка о доходах с предыдущего места работы. Нужна работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством;

- документы об образовании. Подтверждают квалификацию работника, обосновывают занятие определенной должности;

- документы обязательного пенсионного страхования. Нужны работодателю для уплаты за работника соответствующих взносов;

- трудовой договор. В нем содержатся сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника;

- подлинники и копии приказов по личному составу. В них содержится информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника;

- при необходимости - иные документы, содержащие персональные данные работников.

Исходя из положений Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения (утв. Приказом Минкультуры РФ от 25.08.2010 № 558) данные документы относятся к документам долговременного хранения и сроки их хранения составляют 75 лет или постоянно. Согласно данному Перечню личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов, работников, имеющих государственные и иные звания, премии, награды, степени и звания, хранятся постоянно, а иных работников - в течение 75 лет. Трудовые договоры, соглашения, не вошедшие в состав личных дел, должны храниться 75 лет. Также 75 лет хранятся личные карточки. Невостребованные трудовые книжки хранятся 75 лет.

Раздел 3. ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника в соответствии со ст. 86 ТК РФ обязаны соблюдать следующие общие требования:

- действовать в целях соблюдения законов и других нормативных правовых актов, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения их личной безопасности, контроля качества и количества работы, сохранности имущества организации;

- получать персональные данные исключительно у работника. Если же они могут быть получены только у третьих лиц, в том числе и у предыдущего работодателя, то необходимо уведомить об этом работника и заручиться его письменным согласием. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

- обеспечить за счет собственных средств защиту персональных данных от неправомерного использования и утраты;

- знакомить работников под подпись с локальными нормативными актами, устанавливающими порядок обработки персональных данных.

В соответствии с п. 7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей. При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей, и они обязались не разглашать такие сведения (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2[7]). Следовательно, работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, обязательство об их неразглашении.

В силу п. 1 ст. 6, ст. 9 Закона о персональных данных обработка персональных данных осуществляется с согласия работника.

Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (ч. 3 ст. 9 Закона о персональных данных), целесообразно оформить такое согласие письменно. В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

- при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ);

- при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях (абз. 2 ст. 88 ТК РФ);

- для обработки специальных категорий персональных данных работника непосредственно связанных с вопросами трудовых отношений. К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных).

Работодатель не имеет права:

- получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами (п. 5 ч. 1 ст. 86);

- получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, за исключением случаев, непосредственно связанных с вопросами трудовых отношений) (в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия);

- при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения (связано с тем, что персональные данные в электронном виде могут быть подвергнуты неправомерной корректировке в результате случайных или неправомерных действий либо в результате сбоя программы, поэтому подтверждение следует получить от самого работника);

Кроме того, согласно ст. 88 ТК РФ на работодателя накладываются определенные обязанности в части охраны персональных данных. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;

- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;

- осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Из данных норм следует, что работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.

Следует также учитывать, что персональные данные работника хранятся в документированной форме, характер которой определяется работодателем.

Перечень документов по учету труда и его оплаты установлен Постановлением Госкомстата России от 05.01.2004 № 1. Работодатель должен обеспечивать сохранность такой документации в соответствии со сроками ее хранения (см. Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденного Приказом Минкультуры РФ от 25.08.2010 № 558).

Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников (установлена равная обязанность сторон социального партнерства на локальном уровне и сторон трудовых отношений по выработке мер защиты персональных данных работников).

- работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области (установлена обязанность работодателя письменно знакомить работников и их представителей в лице членов выборного органа первичной профсоюзной организации учреждения со всеми документами по этим вопросам, принятым в учреждении);

- работники не должны отказываться от своих прав на сохранение и защиту тайны.

Раздел 4. ЛОКАЛЬНЫЕ АКТЫ ОРГАНИЗАЦИИ

Статьей 87 Трудового кодекса РФ предусмотрено, что порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований ТК РФ и иных федеральных законов, что подразумевает регулирование порядка обработки персональных данных работников локальными нормативными и иными актами.

Поскольку п. 8 ст. 86 ТК РФ предполагает обязанность работодателя знакомить под роспись работников и их представителей с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области, соответственно работодатель обязан принять соответствующие локальные нормативные акты.

Основным таким локальным нормативным актом может быть Положение о защите персональных данных работников, которое принимается с учетом мнения выборного органа первичной профсоюзной организации учреждения в порядке, предусмотренном ст. 372 ТК РФ.

Целью принятия данного положения является определение порядка обработки персональных данных работников, обеспечение защиты прав и свобод работников при обработке их персональных данных, а также определение ответственности лиц, имеющих доступ к персональным данным работников, за невыполнение правовых норм, регулирующих обработку и защиту персональных данных работников.

Отсутствие данного локального нормативного акта может быть квалифицировано государственным и иным органом государственного контроля (надзора) (например, федеральной инспекцией труда) как нарушение работодателем трудового законодательства[8].

Исходя из требований ст. ст. 68, 86 ТК РФ работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Факт ознакомления с указанным Положением может фиксироваться как в тексте самого трудового договора (путем перечисления локальных нормативных актов, с которыми работник ознакомлен до подписания договора), так и в отдельном документе (в самом Положении на листе ознакомления с ним). Работодатель может также предусмотреть в организации журнал ознакомления работников с локальными нормативными актами, где работники будут расписываться в подтверждение того, что они ознакомлены с соответствующими актами (в т.ч. с Положением о персональных данных).

В соответствии со ст. 68 ТК РФ при приеме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью. Поскольку из содержания п. 1 ст. 86 ТК РФ следует, что персональные данные работников обрабатываются исключительно в связи с трудовой деятельностью, то локальные нормативные акты, регламентирующие обработку персональных данных, являются документами, связанными также с их трудовой деятельностью. Следовательно, со всеми локальными нормативными актами, регламентирующими обработку персональных данных, работник должен быть ознакомлен до подписания трудового договора. Структура Положения о персональных данных может быть следующей:

1) «Общие положения». В данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует;

2) «Основные понятия. Состав персональных данных работников». Здесь следует указать, какие документы в организации содержат персональные данные;

3) «Обработка персональных данных». В этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;

4) «Передача персональных данных». Здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;

5) «Доступ к персональным данным». В данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов);

6) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных». В данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.

Наряду с Положением о защите персональных данных работников в организации, осуществляющей образовательную деятельность, также представляется необходимым наличие следующих документов:

- приказ об утверждении списка лиц, имеющих доступ к персональным данным работников;

- обязательство указанных лиц о неразглашении персональных данных работников;

- согласие лиц, персональные данные которых обрабатываются, на их обработку и передачу в рамках исполнения работниками трудовых обязанностей и хозяйственной деятельности предприятия;

- уведомление работника о получении его персональных данных от третьих лиц.

Поскольку на работодателя возложена обязанность соблюдения режима конфиденциальности персональных данных, то необходимо в целях обеспечения выполнения этого требования вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, органам государственного контроля (надзора), правоохранительным органам, которые обеспечат документальную фиксацию внутреннего и внешнего доступа к персональным данным работников.

В журнале учета внутреннего доступа к персональным данным следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (личное дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Помимо этого работодателю необходимо вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работников.

Кроме того, учитывая, что к числу методов и способов защиты информации от несанкционированного доступа для обеспечения безопасности персональных данных в информационных системах определенного класса относится учет всех защищаемых носителей информации с помощью их маркировки и занесения учетных данных в журнал учета, то необходимо также ведение журнала учета применяемых работодателем носителей информации.

Раздел 5. ОФОРМЛЕНИЕ СОГЛАСИЯ РАБОТНИКА НА ПЕРЕДАЧУ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением предусмотренных законом случаев. Также данной статьей предусмотрено, что без согласия работника персональные данные не могут передаваться в коммерческих целях. Соответственно, для передачи персональных данных необходимо письменное согласие работника. Из указанного документа должно быть понятно, кому будут передаваться персональные данные работника и с какой целью. Следует также учитывать, что в соответствии со ст. 88 ТК РФ работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Работодатель с согласия работника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и пр.) другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора). Отметим, что ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона о персональных данных).

Согласие работника на обработку персональных данных должно включать (ч. 4 ст. 9 Закона о персональных данных):

1) фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;

2) при получении согласия от представителя работника - его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;

3) наименование или фамилию, имя, отчество и адрес работодателя;

4) цель обработки персональных данных;

5) перечень персональных данных, которые подлежат обработке;

6) фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;

7) перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;

8) срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;

9) подпись работника.

Следует иметь в виду, что работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных. Это следует из ч. 2 ст. 9 указанного Закона.

В силу абз. 11 п. 5 Разъяснений Роскомнадзора получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя. Однако если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц, то согласие на обработку его персональных данных не требуется.

Согласие не требуется и в тех случаях, когда:

- обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий (п. п. 2, 5 ч. 1 ст. 6 Закона о персональных данных);

- это предусмотрено коллективным договором, соглашением, а также локальными актами работодателя, принятыми в установленном ст. 372 ТК РФ порядке (абз. 2 Разъяснений Роскомнадзора);

- обязанность по обработке предусмотрена законодательством, в том числе для опубликования и размещения персональных данных работников в Интернете (абз. 1 п. 1 Разъяснений Роскомнадзора). К примеру, образовательная организация обязана размещать на официальном сайте образовательной организации в сети Интернет информацию о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии); о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы (ст. 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»)[9];

- обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (п. 2.3 ч. 2 ст. 10 Закона о персональных данных). Такая обработка допускается, например, в отношении сведений о состоянии здоровья педагогических работников (абз. 6 ч. 2 ст. 331 ТК РФ);

- проводится обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой (форма № Т-2, утвержденная Постановлением Госкомстата России от 05.01.2004 № 1), а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др. (абз. 1 п. 2 Разъяснений Роскомнадзора);

- обработка персональных данных связана с выполнением работником своих трудовых обязанностей (п. 3 Разъяснений Роскомнадзора);

- обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений (абз. 1 п. 5 Разъяснений Роскомнадзора);

- персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами (абз. 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора).

- обработка персональных данных осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета (пп. 5 п. 3 ст. 24 Налогового кодекса РФ (далее – НК РФ), ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ, абз. 6 - 10 п. 5 Разъяснений Роскомнадзора).

- в случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку (ч. 5 ст. 11 Федерального закона от 09.02.2007 № 16-ФЗ, п. 8 Правил предоставления гостиничных услуг в Российской Федерации (утв. Постановлением Правительства РФ от 25.04.1997 № 490), абз. 4 п. 4 Разъяснений);

- для предоставления сведений в банк, обслуживающий банковские карты работников при условии, что в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) содержится пункт о праве работодателя передавать персональные данные работников, либо он действует на основании доверенности на представление интересов работников (абз. 10 п. 4 Разъяснений);

- не требуется согласие работника на передачу персональных данных, когда обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (ч. 1 ст. 6, ст. 7, ч. 2 и 3 ст. 9 Закона о персональных данных).

- в налоговые органы (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора);

- в военные комиссариаты (абз. 4 п. 1 ст. 4 Федерального закона от 28.03.1998 № 53-ФЗ, пп. «г» п. 30, пп. «а» - «в», «д», «е» п. 32 Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 № 719, абз. 5 п. 4 Разъяснений Роскомнадзора);

- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем (абз. 5 ч. 6 ст. 370 ТК РФ, п. 1 ст. 17, п. 1 ст. 19 Федерального закона от 12.01.1996 № 10-ФЗ, абз. 5 п. 4 Разъяснений Роскомнадзора);

- по мотивированному запросу органов прокуратуры (п. 1 ст. 22 Федерального закона от 17.01.1992 № 2202-1, п. 7.1 ч. 2 ст. 10 Закона о персональных данных, абз. 7 п. 4 Разъяснений Роскомнадзора);

- по мотивированному требованию правоохранительных органов и органов безопасности (ст. 6 Федерального закона от 29.07.2004 № 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 № 3-ФЗ, п. «м» ч. 1 ст. 13 Федерального закона от 03.04.1995 № 40-ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора);

- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора);

- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом (абз. 5 ст. 228 ТК РФ). Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ;

В связи с этим получателями персональных данных работника на законном основании являются:

органы социального страхования, органы пенсионного обеспечения, а также иные органы, организации и граждане, определяемые в соответствии с федеральными законами о конкретных видах обязательного социального страхования, определяемых в соответствии с Федеральным законом от 16 июля 1999 г. № 165-ФЗ «Об основах обязательного социального страхования», согласно которому отношения по обязательному социальному страхованию возникают у страхователя (работодателя) - по всем видам обязательного социального страхования с момента заключения с работником трудового договора;

налоговые органы (в соответствии со ст. 24 Налогового кодекса Российской Федерации, выступая в качестве налогового агента работников, исчисляющего, удерживающего из средств, выплачиваемых работникам, и перечисляющего в бюджет соответствующие налоги, работодатель обязан представлять в налоговый орган по месту своего учета документы, необходимые для осуществления контроля за правильностью исчисления, удержания и перечисления налогов);

органы прокуратуры и другие правоохранительные органы (в соответствии со ст. 23 Закона о персональных данных имеют право запрашивать информацию у работодателей в рамках проверки для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью).

федеральная инспекция труда (государственные инспекторы труда в соответствии со ст. 357 ТК РФ при осуществлении федерального государственного надзора за соблюдением трудового законодательства имеют право запрашивать у работодателей и безвозмездно получать от них документы и информацию, необходимую для выполнения надзорных и контрольных функций, включая персональные данные работников);

профессиональные союзы (в соответствии с Законом о профсоюзах и ТК РФ профсоюзы имеют право на получение информации от работодателей по социально-трудовым вопросам для осуществления своей уставной деятельности, а также право на осуществление общественного контроля за соблюдением работодателями, должностными лицами трудового законодательства);

другие органы и организации в случаях, предусмотренных федеральным законом.

Раздел 6. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ У РАБОТНИКА

Все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ). Причем это допускается только с его согласия (п. 1 ч. 1 ст. 6 Закона о персональных данных). Это применимо не только к работникам организации. Так, например, согласие на получение персональных данных требуется:

- от претендента на замещение вакантной должности на период принятия работодателем решения о приеме либо отказе в приеме на работу (абз. 11, 12 - 17 п. 5 Разъяснений Роскомнадзора): при поступлении резюме по каналам электронной почты, факсимильной связи; при сборе персональных данных посредством типовой формы анкеты соискателя, утвержденной работодателем;

- для включения соискателя в кадровый резерв работодателя (абз. 22 - 25 п. 5 Разъяснений Роскомнадзора).

Решение работника (соискателя) о предоставлении своих персональных данных должно быть добровольным, какое-либо давление на него недопустимо (п. 1 ст. 9 Закона о персональных данных).

Принимая решение о предоставлении своих данных, работник дает согласие на их обработку (п. 1 ст. 9 Закона о персональных данных). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закона о персональных данных, абз. 3 п. 5 Разъяснений Роскомнадзора).

Не требуется согласие на обработку персональных данных работника (соискателя), получаемых, в частности (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

1) из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК РФ;

2) по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора);

3) в объеме, предусмотренном унифицированной формой № Т-2 (утв. Постановлением Госкомстата России от 05.01.2004 № 1), в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора);

4) от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора);

5) из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Закона о персональных данных, абз. 12 п. 5 Разъяснений Роскомнадзора).

Раздел 7. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА У ТРЕТЬИХ ЛИЦ. СОГЛАСИЕ РАБОТНИКА НА ПОЛУЧЕНИЕ РАБОТОДАТЕЛЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ У ТРЕТЬИХ ЛИЦ

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

- цели получения персональных данных работника у третьего лица;

- предполагаемые источники информации (лица, у которых будут запрашиваться данные);

- способы получения данных, их характер;

- возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Информацию, не имеющую отношения к перечисленным в п. 1 ст. 86 ТК РФ целям, работодатель не вправе запрашивать у третьих лиц даже с согласия работника.

Раздел 8. ПОРЯДОК ВНЕСЕНИЯ ИЗМЕНЕНИЙ В ДОКУМЕНТЫ, СОДЕРЖАЩИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКА

Исходя из того, что персональные данные работника могут содержаться во многих документах работодателя, изменения вносятся следующим образом:

- в личную карточку работника (форма № Т-2). В соответствии с п. 1 Указаний, утвержденных Постановлением Госкомстата России от 05.01.2004 № 1, при изменении сведений о работнике в его личную карточку вносятся новые данные, которые заверяются подписью работника кадровой службы. Следовательно, прежние сведения необходимо зачеркнуть одной чертой и сверху или рядом с соответствующей графой поместить новые данные и заверить подписью работника кадровой службы;

- в трудовую книжку. В соответствии с п. 2.3 Инструкции по заполнению трудовых книжек (утв. Постановлением Минтруда России от 10.10.2003 № 69) изменения записей в трудовых книжках о фамилии, имени, отчестве и дате рождения производятся на основании паспорта, свидетельств о рождении, о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов и со ссылкой на их реквизиты. Указанные изменения вносятся на первую страницу (титульный лист) трудовой книжки. Одной чертой зачеркиваются прежние фамилия, имя, отчество или дата рождения и записываются новые данные. Ссылки на соответствующие документы проставляются на внутренней стороне обложки трудовой книжки и заверяются подписью работодателя или специально уполномоченного им лица и печатью организации (или кадровой службы). Следует также учитывать, что согласно п. 26 Постановления Правительства РФ от 16.04.2003 № 225 «О трудовых книжках» изменение записей о фамилии, имени, отчестве и дате рождения, а также об образовании, профессии и специальности работника производится работодателем по последнему месту работы на основании паспорта, свидетельств о рождении, о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов.

Для внесения изменений в другие документы, содержащие персональные данные работника (например, книгу учета движения трудовых книжек и т.д.), необходимо в произвольной форме составить приказ об изменении персональных данных конкретного работника. На основании этого приказа будут вноситься изменения во все остальные соответствующие документы. Внесенные изменения необходимо заверить подписью ответственного работника и печатью организации.

Раздел 9. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ, СВЯЗАННЫЕ С ОБРАБОТКОЙ И ЗАЩИТОЙ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с ч. 1 ст. 89 ТК РФ работники имеют право на полную информацию об их персональных данных и обработке этих данных. Соответственно, работодатель обязан ознакомить их с такой информацией.

Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Следовательно, конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах, определяющих порядок обработки и защиты персональных данных работника. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Также работники, согласно ст. 89 ТК РФ, имеют право на свободный бесплатный доступ к своим персональным данным, в т.ч. на получение копии любой записи, содержащей такие данные.

Учитывая требования ст. 62 ТК РФ, по письменному заявлению работника работодатель обязан не позднее трех рабочих дней со дня получения от работника заявления выдать ему копии документов, связанных с работой (приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы, выписки из трудовой книжки, справок о заработной плате, о начисленных и фактически уплаченных пенсионных взносах, о периоде работы у данного работодателя и др.). Данные копии заверяются надлежащим образом и предоставляются работнику безвозмездно.

При этом следует иметь в виду, что положения ст. 62 ТК РФ распространяются и на дистанционных работников, но с учетом особенностей, установленных гл. 49.1 ТК РФ. Это определено ч. 3 ст. 312.1 ТК РФ.

В частности, если такому работнику потребуются копии документов, связанных с работой, работодателю необходимо направить их ему одним из следующих способов (ч. 8. ст. 312.1 ТК РФ):

- по почте заказным письмом с уведомлением;

- электронным письмом (если работник указал об этом в заявлении).

Соответствующее заявление работник может направить в электронной форме, заверив его усиленной квалифицированной электронной подписью (ч. 4, 6 ст. 312.1 ТК РФ).

Работник также может определить представителя для защиты своих персональных данных. Традиционно представителями работников являются профсоюзы, однако для указанных целей работник может определить иное лицо (физическое либо юридическое), а также защищать права самостоятельно.

Также работникам предоставляется право доступа к персональным данным, относящимся к медицинским данным, с помощью медицинского специалиста по их выбору.

Работники имеют право требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями требований Трудового кодекса РФ или иного федерального закона. В случае отказа работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения (ст. 89 ТК РФ).

В соответствии со ст. 89 ТК РФ по требованию работника работодатель обязан известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные этого работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Работники имеют право обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.

Работники обязаны в разумный срок информировать работодателя об изменении персональных данных.

Следует иметь в виду, что законом не предусмотрена обязанность работника своевременно уведомлять работодателя об изменении своих персональных данных. Однако несвоевременное предоставление работником измененных данных может повлиять на исполнение работодателем своих обязанностей. Так, например, работодатель не сможет принять от работника листок временной нетрудоспособности, если в нем будет указана другая фамилия, поскольку Фонд социального страхования в таком случае не возместит работодателю выплаченную сумму.

Аналогичные ситуации могут возникнуть и с заработной платой, если она перечисляется работнику на зарплатную карточку через банк.

При изменении данных руководителя организации следует сообщить в налоговый орган в течение трех дней (п. 5 ст. 5 Федерального закона от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»).

Работодатель обязан уведомить Пенсионный фонд об изменении данных конкретного работника (п. 4 ст. 7 Федерального закона от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»).

Ставить в известность остальные фонды (социального страхования, обязательного медицинского страхования) о смене работником фамилии, имени, отчества не нужно.

При изменении персональных данных работника (смена фамилии и т.д.) такие изменения рекомендуется отражать в дополнительном соглашении к трудовому договору. Это, например, позволит избежать следующей ошибки: в соглашении о переводе работника на другую должность в трудовом договоре указана прежняя фамилия работника, а в дополнительном соглашении - новая.

В связи с тем, что своевременное предоставление изменившихся персональных данных избавит работодателя от многих проблем, следует прописать в Положении о персональных данных обязанность работника ставить работодателя в известность о таких изменениях с определением конкретного срока.

Раздел 10. ТРЕБОВАНИЯ К САЙТУ ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ

Вопрос размещения информации об организациях, осуществляющих образовательную деятельность, на сайтах в сети «Интернет» регулируется следующими нормативными правовыми актами:

Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации» (далее – Закон об образовании).

Федеральный Закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» с изменениями, внесенными в него Федеральным законом от 31 декабря 2014 г. № 526-ФЗ.

Постановление Правительства РФ от 10 июля 2013 г. № 582 «Об утверждении Правил размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети «Интернет» и обновления информации об образовательной организации» (далее – Постановление № 582).

Приказ Федеральной службы по надзору в сфере образования и науки от 29 мая 2014 г. № 785 «Об утверждении требований к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети «Интернет» и формату представления на нем информации» (далее – Приказ Рособрнадзора № 785).

Письмо Минобрнауки России от 22.07.2013 № 09-889 «О размещении на официальном сайте образовательной организации информации» (далее – письмо Минобрнауки № 09-889).

Ст. 29 Закона об образовании устанавливает обязанность образовательных организаций формировать открытые и общедоступные информационные ресурсы, содержащие информацию об их деятельности, и обеспечивать доступ к таким ресурсам посредством размещения их в информационно-телекоммуникационных сетях, в том числе на официальном сайте образовательной организации в сети «Интернет».

Правила размещения и обновления информации об образовательной организации в целях обеспечения открытости и доступности указанной информации установлены Постановлением № 582. Данным постановлением определен перечень образовательных организаций, на которые не распространяется действие норм об информационной открытости.

Требования к структуре официального сайта образовательной организации, а также формат предоставления обязательной к размещению информации утверждены Приказом Рособрнадзора № 785.

Часть 2 статьи 29 Закона об образовании статьи содержит открытый перечень информации, в отношении которой образовательные организации обеспечивают открытость и доступность.

Согласно Приказу Рособрнадзора № 785 для размещения информации на сайте образовательной организации должен быть создан специальный раздел «Сведения об образовательной организации», доступ к которому осуществляется с главной страницы сайта.

Данный раздел должен содержать следующие подразделы:

1. Основные сведения.

Главная страница подраздела должна содержать информацию о дате создания образовательной организации, об учредителе, учредителях образовательной организации, о месте нахождения образовательной организации и ее филиалов (при наличии), режиме, графике работы, контактных телефонах и об адресах электронной почты.

2. Структура и органы управления образовательной организацией.

Главная страница подраздела должна содержать информацию о структуре и об органах управления образовательной организацией, в том числе:

- наименование структурных подразделений (органов управления);

- фамилии, имена, отчества и должности руководителей структурных подразделений (письмом Минобрнауки № 09-889 рекомендовано размещать также сведения о совете обучающихся: наименование совета обучающихся, фамилии, имена, отчества и должности руководящих лиц, место нахождения, адрес официального сайта, электронной почты, сведения о наличии положения о совете обучающихся с приложением копии указанного положения (при наличии), сведения о порядке формирования совета обучающихся);

- места нахождения структурных подразделений;

- адреса официальных сайтов в сети «Интернет» структурных подразделений (при наличии);

- адреса электронной почты структурных подразделений (при наличии);

- сведения о наличии положений о структурных подразделениях (об органах управления) с приложением копий указанных положений (при их наличии);

3. Документы.

На главной странице подраздела должны быть размещены следующие документы:

а) в виде копий:

устав образовательной организации;

лицензия на осуществление образовательной деятельности (с приложениями);

свидетельство о государственной аккредитации (с приложениями);

план финансово-хозяйственной деятельности образовательной организации, утвержденный в установленном законодательством РФ порядке, или бюджетные сметы образовательной организации;

локальные нормативные акты, предусмотренных частью 2 статьи 30 Закона об образовании, правила внутреннего распорядка обучающихся, правила внутреннего трудового распорядка и коллективного договора.

б) отчет о результатах самообследования[10];

в) документ об оказании платных образовательных услуг, в том числе образец договора об оказании платных образовательных услуг, документ об утверждении стоимости обучения по каждой образовательной программе;

г) предписания органов, осуществляющих государственный контроль (надзор) в сфере образования, отчеты об исполнении таких предписаний;

4. Образование.

Подраздел должен содержать информацию о реализуемых уровнях образования, о формах обучения, нормативных сроках обучения, сроке действия государственной аккредитации образовательной программы (при наличии государственной аккредитации), об описании образовательной программы с приложением ее копии, об учебном плане с приложением его копии, об аннотации к рабочим программам дисциплин (по каждой дисциплине в составе образовательной программы) с приложением их копий (при наличии), о календарном учебном графике с приложением его копии, о методических и об иных документах, разработанных образовательной организацией для обеспечения образовательного процесса, о реализуемых образовательных программах с указанием учебных предметов, курсов, дисциплин (модулей), практики, предусмотренных соответствующей образовательной программой, о численности обучающихся по реализуемым образовательным программам за счет бюджетных ассигнований федерального бюджета, бюджетов субъектов Российской Федерации, местных бюджетов и по договорам об образовании за счет средств физических и (или) юридических лиц, о языках, на которых осуществляется образование (обучение).

Образовательные организации, реализующие общеобразовательные программы, дополнительно указывают наименование образовательной программы.

Образовательные организации, реализующие профессиональные образовательные программы, дополнительно, для каждой образовательной программы указывают:

а) уровень образования;

б) код и наименование профессии, специальности, направления подготовки;

в) информацию:

о направлениях и результатах научной (научно-исследовательской) деятельности и научно-исследовательской базе для ее осуществления (для образовательных организаций высшего образования и организаций дополнительного профессионального образования);

о результатах приема по каждой профессии, специальности среднего профессионального образования (при наличии вступительных испытаний), каждому направлению подготовки или специальности высшего образования с различными условиями приема (на места, финансируемые за счет бюджетных ассигнований федерального бюджета, бюджетов субъектов Российской Федерации, местных бюджетов, по договорам об образовании за счет средств физических и (или) юридических лиц) с указанием средней суммы набранных баллов по всем вступительным испытаниям, а также о результатах перевода, восстановления и отчисления.

5. Образовательные стандарты.

Подраздел должен содержать информацию о федеральных государственных образовательных стандартах и об образовательных стандартах с приложением их копий (при наличии). Допускается вместо копий размещать гиперссылки на соответствующие документы на сайте Министерства образования и науки РФ.

6. Руководство. Педагогический (научно-педагогический) состав.

Главная страница подраздела должна содержать информацию о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии), в том числе:

фамилия, имя, отчество (при наличии) руководителя, его заместителей;

должность руководителя, его заместителей;

контактные телефоны;

адрес электронной почты;

- о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе:

фамилия, имя, отчество (при наличии) работника;

занимаемая должность (должности);

преподаваемые дисциплины;

ученая степень (при наличии);

ученое звание (при наличии);

наименование направления подготовки и (или) специальности;

данные о повышении квалификации и (или) профессиональной переподготовке (при наличии);

общий стаж работы;

стаж работы по специальности;

7. Материально-техническое обеспечение и оснащенность образовательного процесса.

Главная страница подраздела должна содержать информацию о материально-техническом обеспечении образовательной деятельности, в том числе сведения о наличии оборудованных учебных кабинетов; объектов для проведения практических занятий; библиотек; объектов спортивной инфраструктуры и условиях их использования обучающимися в этих организациях и их работниках; средств обучения и воспитания; об условиях питания и охраны здоровья обучающихся; о доступе к информационным системам и информационно-телекоммуникационным сетям, об электронных образовательных ресурсах, к которым обеспечивается доступ обучающихся:

8. Стипендии и иные виды материальной поддержки.

Подраздел должен содержать информацию о наличии и условиях предоставления обучающимся стипендий, мер социальной поддержки (в том числе персональном составе стипендиальной комиссии образовательной организации и подразделений (при наличии), сведений об актуальном положении о стипендиальном обеспечении обучающихся с приложением копии указанного положения); о наличии общежития, интерната, количестве жилых помещений в общежитии, интернате для иногородних обучающихся, условиях предоставления жилого помещения в общежитии и размере платы за пользование жилым помещением и коммунальные услуги в общежитии с приложением копии локального акта, регламентирующего размер оплаты; о трудоустройстве выпускников.

9. Платные образовательные услуги.

Подраздел должен содержать информацию о порядке оказания платных образовательных услуг.

10. Финансово-хозяйственная деятельность.

Главная страница подраздела должна содержать информацию об объеме образовательной деятельности, финансовое обеспечение которой осуществляется за счет бюджетных ассигнований федерального бюджета, бюджетов субъектов Российской Федерации, местных бюджетов, по договорам об образовании за счет средств физических и (или) юридических лиц; о поступлении финансовых и материальных средств и об их расходовании по итогам финансового года, в том числе о расходовании средств на организацию культурно-массовой, физкультурной и спортивной, оздоровительной работы со студентами с указанием проведенной работы и мероприятий на указанные средства и средства из внебюджетных источников.

11. Вакантные места для приема (перевода).

Главная страница подраздела должна содержать информацию о количестве вакантных мест для приема (перевода) по каждой образовательной программе, профессии, специальности, направлению подготовки (на места, финансируемые за счет бюджетных ассигнований федерального бюджета, бюджетов субъектов Российской Федерации, местных бюджетов, по договорам об образовании за счет средств физических и (или) юридических лиц).

Вся другая информация опубликовывается на усмотрение самой образовательной организации с соблюдением положений Закона о персональных данных.

Информация и документы, в отношении которых в обязательном порядке должна обеспечиваться доступность (за исключением, если они отнесены к сведениям, составляющим государственную и иную охраняемую законом тайну), подлежат размещению на официальном сайте образовательной организации в сети Интернет и обновлению в течение десяти рабочих дней со дня их создания, получения или внесения в них соответствующих изменений.

Пользователю должна предоставляться наглядная информация о структуре сайта, включающая в себя ссылку на официальный сайт Министерства образования и науки Российской Федерации — http://www.mon.gov.ru.

Информация размещается на официальном сайте в текстовой и (или) табличной формах, а также в форме копий документов в соответствии с требованиями к структуре официального сайта и формату представления информации, установленными Федеральной службой по надзору в сфере образования и науки.

Информация на официальном сайте размещается на русском языке, а также может быть размещена на государственных языках республик, входящих в состав Российской Федерации, и (или) на иностранных языках.

Технологические и программные средства, которые используются для функционирования официального сайта, должны обеспечивать защиту информации от уничтожения, модификации и блокирования доступа к ней, а также иных неправомерных действий в отношении нее; защиту от копирования авторских материалов.

Обращаем внимание, что с 1 сентября 2015 г. вступает в силу Федеральный Закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (в редакции Федерального закона от 31 декабря 2014 г. № 526-ФЗ), в котором установлена новая обязанность оператора персональных данных осуществлять запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России. Исключение из этого правила составят случаи, когда обработка персональных данных необходима, например, для достижения предусмотренных международным договором РФ или законом целей, а также некоторых других (п. 2, 3, 4, 8 ч. 1 ст. 6 Закона о персональных данных). Обеспечить нахождение на территории РФ баз данных должны будут обладатели информации, операторы информационной системы.



[1] Постановления: ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013; Пятнадцатого арбитражного апелляционного суда от 28 октября 2013 г. № 15ап-15175/13; Пятнадцатого арбитражного апелляционного суда от 17 декабря 2013 г. № 15АП-16132/13; Пятнадцатого арбитражного апелляционного суда от 14 марта 2014 г. № 15АП-22502/13.

[2] Об отнесении фотографий и видеозаписей к биометрическим данным см. Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки».

[3] Рекомендации утверждены Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» (в ред. Приказа от 14 марта 2014 г. № 37).

[4] Об использовании с 1 января 2013 г. форм первичных учетных документов, содержащиеся в альбомах унифицированных форм первичной учетной документации, см. Информацию Минфина РФ от 4 декабря 2012 г. № ПЗ-10/2012 «О вступлении в силу с 1 января 2013 г. Федерального закона от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете» (ПЗ - 10/2012)».

[5] Апелляционное определение Верховного суда Удмуртской Республики от 23.04.2012 № 33-1198; Определение Санкт-Петербургского городского суда от 24.01.2012 № 33-712/2012; Апелляционное определение Суда Ханты-Мансийского автономного округа - Югры от 21.03.2012 № Н33-448/12.

[6] см. Информацию Минфина РФ от 4 декабря 2012 г. № ПЗ-10/2012 «О вступлении в силу с 1 января 2013 г. Федерального закона от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете» (ПЗ - 10/2012)».

[7] Постановление Пленума Верховного Суда РФ от 17 марта 2004 г. № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации».

[8] Такой вывод подтверждается судебной практикой. Например, см. Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 по делу № А40-20745/06-148-194.

[9] Постановление Правительства РФ от 10 июля 2013 г. № 582 «Об утверждении Правил размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети «Интернет» и обновления информации об образовательной организации».

[10] Приказом Минобрнауки РФ от 14 июня 2013 г. № 462 «Об утверждении Порядка проведения самообследования образовательной организацией» предусмотрено, что размещение отчетов образовательных организаций высшего образования, профессиональных образовательных организаций, организаций дополнительного профессионального образования, организаций дополнительного образования в информационно-телекоммуникационных сетях, в том числе на официальном сайте организации в сети Интернет, и направление его учредителю осуществляются не позднее 20 апреля текущего года, а для общеобразовательных организаций и дошкольных образовательных организаций - не позднее 1 сентября текущего года.

Актуально

Поиск по сайту

    Архивы сайта:
    с 2009 по 2013 г. г. | с 2013 по 2015 г. г.