Защита данных и конфиденциальность сотрудников в России

Защита данных и конфиденциальность сотрудников в России

1) Какие существуют законодательные акты в России, регулирующие защиту персональных данных сотрудников, и как они соотносятся с международными стандартами?

В Российской Федерации вопросы обработки и защиты персональных данных работников регулируют, в частности:

1. Трудовой кодекс Российской Федерации (далее – «ТК РФ»).

2. Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – «Закон № 152-ФЗ»).

3. Приказ Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

Закон № 152-ФЗ устанавливает требования к обработке и защите персональных данных, аналогичные требованиям «Конвенции №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», а также содержит дополнительные определения и требования. 

2) Какие типы персональных данных обычно защищаются трудовым законодательством?

Закон № 152-ФЗ определяет персональные данные как любую информацию, относящуюся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Работодатели при обработке персональных данных сотрудников обязаны соблюдать положения действующего законодательства. Работодатели, как правило, обрабатывают следующие персональные данные работников: 

  • фамилия, имя и отчество;
  • данные документа удостоверяющего личность;
  • контактные данные (телефон, адрес проживания, E-mail);
  • сведения об образовании, опыте работы и иные данные содержащиеся в резюме;
  • реквизиты банковского счета;
  • данные о доходах;
  • данные членов семьи, в т.ч. из свидетельств о заключении брака, рождении детей;
  • данные содержащиеся в документах воинского учета. 

3) Как обеспечить соблюдение законодательства о защите персональных данных при передаче персональных данных сотрудников третьим лицам (например, подрядчикам, партнерам)?

Работодатель должен получить от работника письменное согласие на передачу его персональных данных третьему лицу. Но есть исключения: передача данных в ПФР, ФСС, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д. Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку, а также когда это необходимо в целях предупреждения угрозы жизни и здоровью работника. Перед передачей персональных данных работодатель обязан предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены и получить подтверждение того, что такое требование будет соблюдено третьим лицом (абз. 4 ч. 1 ст. 88 ТК РФ). Как правило, эта обязанность исполняется путем подписания соглашения об обработке персональных данных либо включения соответствующих положений в договор с третьим лицом. 

4) В каком виде получается согласие на обработку персональных данных сотрудников?

Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель, согласие обычно оформляется в письменной форме и должно  соответствовать требованиям ст. 9 Закона № 152-ФЗ. Обязательно оформление согласия работника на обработку  персональных данных в письменной форме: при получении персональных данных работника у третьей стороны; при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях; для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений – сведений о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Кроме того, необходимо оформлять отдельное согласие на обработку персональных данных разрешенных для распространения (в частности, для публикации персональных данных работников на сайте в сети «Интернет»). 

5) Какие персональные данные сотрудников не могут запрашиваться и обрабатываться со стороны работодателя?

Согласно ст. 86 ТК РФ работодатель не вправе получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, а также персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами. 

6) Каковы последствия нарушения законодательства о защите персональных данных сотрудников?

При нарушении требований к обработке персональных данных работников возможны, в частности, следующие последствия: 

  • Административная ответственность за несоблюдение требований к обработке персональных данных работников, которые установлены Трудовым кодексом РФ (ч. 1, 2 ст. 5.27 КоАП РФ);
  • Административная ответственность за нарушение требований к обработке персональных данных, которые установлены Закона № 152-ФЗ  (ст. 13.11 КоАП РФ);
  • Уголовная ответственность по ч. 2 ст. 137 УК РФ - если работник, ответственный за обработку персональных данных других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия.

Авторы: Яна Дианова, Владислава Новокрещенова

Russia
Employment Data Protection & Privacy

Авторы

Вернуться к списку всех публикаций