Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Медицинские организации в силу законодательства являются операторами персональных данных своих пациентов. Они принимают непосредственное участие в сборе, систематизации, накоплении, хранении, уточнении, обновлении, изменении, распространении и уничтожении такой информации. Разберемся, какие требования предъявляет законодательство к медицинской организации в качестве оператора персональных данных и какие виды ответственности предусмотрены за их нарушение.

Персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)).

Медицинская организация, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание медицинских услуг, а также в процессе лечения, приобретает статус оператора. У нее возникают определенные обязанности в части работы с полученными персональными данными.

Данные обязанности регулируются следующими нормативными актами:
– Конституция РФ;
– КоАП РФ, УК РФ, ГПК РФ;
– упомянутый выше Закон № 152-ФЗ;
– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — Закон № 323-ФЗ);
– другие положения и нормативно-правовые акты.

Важно!
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона № 152-ФЗ).

Персональные данные пациента и врачебная тайна

Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст. 10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных. Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.

Обработка персональных данных

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 Закона № 152-ФЗ).

Как было сказано выше, перед получением от пациента информации медицинская организация должна запросить у него согласие на обработку персональных данных (ст. 6, ст. 10 Закона № 152-ФЗ).

Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. Поэтому медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
– подтверждение факта обработки персональных данных;
– правовые основания и цели обработки;
– цели и применяемые способы обработки;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
– информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.

При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.

Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):
– фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
– Ф.И.О., адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
– наименование медицинской организации;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых пациент дает согласие;
– наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
– перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
– срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
– подпись пациента.

Также обратите внимание, что при заключении договора с пациентом медицинская организация обязана предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе. Такую информацию можно включить непосредственно в договор либо прописать в нем ссылку на источник откуда можно получить информацию.

При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.

От пациента обязательно потребуется получить информированное добровольное согласие на медицинское вмешательство (на анестезиологическое обеспечение медицинского вмешательства, на оперативное вмешательство, в том числе переливание крови и ее компонентов, и т. д.). Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением. С 1 января 2020 года согласие также можно оформить в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.

Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.

Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:
– страдающих заболеваниями, представляющими опасность для окружающих;
– страдающих тяжелыми психическими расстройствами;
– совершивших общественно опасные деяния (преступления);
– направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

Кроме того, предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя возможно (п. 3 ст. 13 Закона № 323-ФЗ):
– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;
– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;
– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;
– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;
– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
– в целях осуществления учета и контроля в системе обязательного социального страхования.

Предоставление персональных данных пациенту или его законному представителю

Медицинская организация обязана сообщить пациенту или его законному представителю информацию о наличии персональных данных и предоставить возможность для ознакомления с ними в течение 30 дней с даты получения соответствующего запроса от пациента или его представителя (ст. 14, ст. 20 Закона № 152-ФЗ).
Согласно Закону № 323-ФЗ пациент или его законный представитель имеют право на основании письменного заявления получать отражающие состояние здоровья медицинские документы, их копии и выписки из медицинских документов (п. 5 ст. 22 Закона № 323-ФЗ) в порядке утвержденном приказом Минздравсоцразвития РФ от 02.05.2012 № 441н, а также непосредственно знакомиться с медицинской документацией, отражающей состояние здоровья в порядке, утвержденном приказом Министерства здравоохранения РФ от 29.06.2016 № 425н.

Ответственность за нарушение правил работы с персональными данными

Административная ответственность за нарушения в области защиты персональных данных установлена статьей 13.11 КоАП РФ. Перечислим за что могут оштрафовать медицинскую организацию.

Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями их сбора влечет предупреждение или наложение штрафа:
– на граждан в размере от 1000 до 3000 рублей;
– на должностных лиц – от 5000 до 10 000 рублей;
– на юридических лиц – от 30 000 до 50 000 рублей.

Обработка персональных данных без согласия в письменной форме в случаях, когда оно должно быть получено в соответствии с законодательством РФ в области персональных данных (если эти действия не содержат уголовно наказуемого деяния), либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме влечет:
– наложение административного штрафа на граждан в размере от 3000 до 5000 рублей;
– на должностных лиц – от 10 000 до 20 000 рублей;
– на юридических лиц – от 15 000 до 75 000 рублей.

Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся их обработки, влечет предупреждение или наложение штрафа:
– на граждан в размере от 1000 до 2000 рублей;
– на должностных лиц – от 4000 до 6000 рублей;
– на юридических лиц – от 20 000 до 40 000 рублей.

Несоблюдение сроков выполнения требований по защите прав субъектов персональных данных об их уточнении, блокировании или уничтожении, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или наложение административного штрафа:
– на граждан в размере от 1000 до 2000 рублей;
– на должностных лиц – от 4000 до 10 000 рублей;
– на юридических лиц – от 25 000 до 45 000 рублей.

Невыполнение требований по сохранности персональных данных при их обработке без использования средств автоматизации, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение штрафа:
– на граждан в размере от 700 до 2000 рублей;
– на должностных лиц – от 4000 до 10 000 рублей;
– на юридических лиц – от 25 000 до 50 000 рублей.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов влечет предупреждение или наложение штрафа на должностных лиц в размере от 3000 до 6000 рублей.

Уголовная ответственность предусмотрена за следующие правонарушения.

Незаконное собирание или распространение с использованием служебного положения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ может повлечь (ст. 137 УК РФ):
– штраф в размере от 100 000 до 300 000 рублей;
– лишение права занимать определенные должности на срок от двух до пяти лет;
– принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового);
– арест на срок до шести месяцев;
– лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет).

За неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы пациента, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам пациента медицинской организации грозит (ст. 140 УК РФ):
– штраф до 200 000 рублей;
– лишение права занимать определенные должности на срок от двух до пяти лет.

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование предусматривает:
– штраф до 200 000 рублей;
– исправительные работы на срок до одного года;
– ограничение свободы на срок до двух лет;
– принудительные работы на срок до двух лет;
– лишение свободы на тот же срок.

Кроме того, медицинскую организацию могут привлечь к гражданско-правовой ответственности за причинение пациенту морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных (ст. 24 Закона № 152-ФЗ; ст. 151 ГК РФ). Ответственность предусматривает компенсацию морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков).

Также читайте:

Свежие новости цифровой экономики на нашем канале в Телеграм

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

1. Понятие персональных данных работника, предлагаемое законодателем, носит общий характер.

Конкретное содержание персональных данных определяется ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»*(84), согласно которой персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Федеральным законом от 29 декабря 2010 г. N 437-ФЗ «О внесении изменений в Федеральный закон «О некоммерческих организациях» и отдельные законодательные акты Российской Федерации»*(85) ТК дополнен ст. 349.1, посвященной особенностям регулирования работников государственных корпораций, государственных компаний. На основании п. 1 ч. 1 ст. 349.1 ТК работник государственной корпорации или государственной компании в случаях и порядке, которые установлены Правительством РФ, представляет не только сведения о своих доходах, имуществе и обязательствах имущественного характера, но также о доходах, имуществе и обязательствах имущественного характера его супруга (супруги) и несовершеннолетних детей.

Таким образом, в некоторых случаях работодатель обязан располагать информацией не только о работнике, но и о персональных данных его супруга (супруги), несовершеннолетних детей.

2. Указом Президента РФ от 6 марта 1997 г. N 188 сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральным законом случаях, включены в Перечень сведений конфиденциального характера*(86).

Требование конфиденциальности персональных данных раскрывается в Федеральном законе «О персональных данных». Согласно п. 10 ст. 3 этого Закона конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. В трудовых отношениях в качестве оператора выступает работодатель. Статья 7 вышеуказанного Федерального закона возлагает на оператора и третьих лиц, получающих доступ к персональным данным, обязанность обеспечивать их конфиденциальность, за исключением случая обезличивания персональных данных и в отношении общедоступных персональных данных.

3. Статья 65 ТК перечисляет документы, предъявляемые при заключении трудового договора, и устанавливает, что предъявление дополнительных документов с учетом специфики работы может предусматриваться ТК, федеральными законами, указами Президента РФ, постановлениями Правительства РФ.

4. Применительно к отдельным категориям работников информация о персональных данных является более емкой (расширяется).

Лицо допускается к педагогической деятельности, если работодатель располагает сведениями о том, что оно (ст. 331 ТК):

— не лишено права заниматься педагогической деятельностью в соответствии с вступившим в законную силу приговора суда;

— не имеет и не имело судимости, не подвергается или не подвергалось уголовному преследованию (за исключением уголовного преследования, прекращенного в отношении лица по реабилитирующим основаниям) за преступления против жизни и здоровья, свободы, чести и достоинства личности (за исключением незаконного помещения в психиатрический стационар, клеветы и оскорбления), половой неприкосновенности и половой свободы личности, против семьи и несовершеннолетних, здоровья населения и общественной нравственности, а также против общественной безопасности;

— не имеет неснятую или непогашенную судимость за умышленные тяжкие и особо тяжкие преступления;

-не признано недееспособным;

— не имеет заболеваний, предусмотренных перечнем, утверждаемым федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в области здравоохранения.

5. Информация, необходимая работодателю в связи с трудовыми отношениями, определяется рядом законов, например:

1) Законом РФ от 11 марта 1992 г. N 2487-I «О частной детективной и охранной деятельности в Российской Федерации»*(87), где указано, что на приобретение правового статуса частного охранника не вправе претендовать лица (ст. 11.1):

а) имеющие заболевания, которые препятствуют исполнению ими обязанностей частного охранника (см. Перечень заболеваний, препятствующих исполнению обязанностей частного охранника, утвержденный постановлением Правительства РФ от 19 мая 2007 г. N 300*(88));

б) имеющие судимость за совершение умышленного преступления;

в) не прошедшие профессиональной подготовки для работы в качестве охранника;

г) у которых удостоверение частного охранника было аннулировано по основаниям неоднократного привлечения в течение года частного охранника к административной ответственности за совершение административных правонарушений, посягающих на институты государственной власти, административных правонарушений против порядка управления и административных правонарушений, посягающих на общественный порядок и общественную безопасность;

2) Воздушным кодексом РФ (ст. 52), установившим, что на должности авиационного персонала не принимаются лица, имеющие непогашенную или неснятую судимость за совершение умышленного преступления. На работу в службы авиационной безопасности не принимаются лица:

а) имеющие непогашенную или неснятую судимость за совершение умышленного преступления;

б) состоящие на учете в учреждениях органов здравоохранения по поводу психического заболевания, алкоголизма или наркомании;

в) в отношении которых по результатам проверки, проведенной в соответствии с Законом РФ от 18 апреля 1991 г. N 1026-I «О милиции»*(89), имеется заключение органов внутренних дел о невозможности допуска этих лиц к осуществлению деятельности, связанной с объектами, представляющими повышенную опасность для жизни или здоровья человека, а также для окружающей среды;

3) Федеральным законом от 14 апреля 1999 г. N 77-ФЗ «О ведомственной охране»*(90) (ст. 7), в котором установлено, что гражданин не может быть принят на работу в ведомственную охрану в случаях:

а) наличия у него неснятой или непогашенной судимости;

б) наличия подтвержденного заключением медицинской организации заболевания, препятствующего исполнению им должностных обязанностей;

в) лишения его права занимать должности на государственной службе, в органах местного самоуправления либо заниматься охранной деятельностью приговором суда, вступившим в законную силу.

В отдельных случаях персональные данные, которыми должен располагать работодатель, определяются подзаконными нормативными актами. Так, постановлением Правительства РФ от 6 августа 1998 г. N 892 утверждены Правила допуска лиц к работе с наркотическими средствами и психотропными веществами, а также к деятельности, связанной с оборотом прекурсоров наркотических средств и психотропных веществ*(91), согласно которым к работе с наркотическими средствами и психотропными веществами, а также к деятельности, связанной с оборотом прекурсоров, не допускаются лица (п. 4 Правил):

а) имеющие непогашенную или неснятую судимость за преступление средней тяжести, тяжкое и особо тяжкое преступление или преступление, связанное с незаконным оборотом наркотических средств, психотропных веществ и их прекурсоров либо с незаконным культивированием наркосодержащих растений, в том числе совершенное за пределами Российской Федерации;

б) больные наркоманией, токсикоманией и хроническим алкоголизмом.

В целях обеспечения реализации права граждан на предоставление информации о наличии или отсутствии у них судимости приказом МВД России от 1 ноября 2001 г. N 965 утверждена Инструкция о порядке предоставления гражданам справок о наличии (отсутствии) у них судимости*(92).

6. К персональным данным на основании ст. 9 Федерального закона от 25 июля 1998 г. N 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации»*(93) относится информация о прохождении обязательной государственной дактилоскопической регистрации, которой подлежат:

1) граждане РФ, призываемые на военную службу;

3) граждане России, проходящие службу в:

а) органах внутренних дел;

б) органах по контролю за оборотом наркотических средств и психотропных веществ;

в) органах государственной налоговой службы;

г) органах по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий;

д) органах и подразделениях службы судебных приставов;

е) таможенных органах;

ж) органах государственной охраны;

з) учреждениях и органах уголовно-исполнительной системы;

и) Государственной противопожарной службе;

к) федеральном органе исполнительной власти, уполномоченном на осуществление функций по контролю и надзору в сфере миграции, и его территориальных органах, организациях, подразделениях;

л) с 1 января 2013 г. — в федеральном органе исполнительной власти, реализующем государственную политику в сфере миграции и осуществляющем правоприменительные функции, функции по контролю, надзору и оказанию государственных услуг в сфере миграции, и его территориальных органах, организациях, подразделениях, в том числе зарубежных (ст. 3, 9 Федерального закона от 19 мая 2010 г. N 86-ФЗ «О внесении изменений в Федеральный закон «О правовом положении иностранных граждан в Российской Федерации» и отдельные законодательные акты Российской Федерации»*(94));

4) федеральные государственные гражданские служащие кадрового состава органов внешней разведки, а также не входящие в кадровый состав федеральные государственные гражданские служащие и работники органов внешней разведки;

5) федеральные государственные гражданские служащие и работники органов федеральной службы безопасности, а также граждане, поступающие на военную службу по контракту, федеральную государственную гражданскую службу или работу в органы федеральной службы безопасности;

6) спасатели профессиональных аварийно-спасательных служб и профессиональных аварийно-спасательных формирований Российской Федерации;

7) члены экипажей воздушных судов государственной, гражданской и экспериментальной авиации Российской Федерации.

Перечень должностей, на которых проходят службу граждане Российской Федерации, подлежащие обязательной государственной дактилоскопической регистрации, утвержден постановлением Правительства РФ от 6 апреля 1999 г. N 386*(95);

8) граждане, претендующие на получение удостоверения частного охранника;

9) граждане РФ, постоянно проживающие на территории РФ иностранные граждане и лица без гражданства, в отношении которых принято решение о выдаче удостоверения личности моряка и др.

С 1 января 2013 г. обязательной государственной дактилоскопической регистрации будут подлежать:

— иностранные граждане и лица без гражданства, в отношении которых принято решение о выдаче разрешений на работу либо патентов, предоставляющих право на осуществление трудовой деятельности в Российской Федерации;

— иностранные граждане и лица без гражданства, осуществляющие трудовую деятельность в Российской Федерации в нарушение законодательства РФ;

— иностранные граждане и лица без гражданства, обратившиеся в территориальные органы федерального органа исполнительной власти, уполномоченного на осуществление функций по контролю и надзору в сфере миграции, с заявлением о получении дубликата разрешения на работу, миграционной карты, визы, разрешения на временное проживание, вида на жительство или отрывной части бланка уведомления о прибытии взамен утраченных или испорченных (ст. 3, 9 Федерального закона «О внесении изменений в Федеральный закон «О правовом положении иностранных граждан в Российской Федерации» и отдельные законодательные акты Российской Федерации»).

7. К персональным данным относится также:

— медицинские заключения о необходимости перевода работника на другую работу (ст. 73 ТК), перевода на другую работу беременных женщин и женщин, имеющих детей до полутора лет (ст. 254 ТК);

— медицинские заключения как предшествующее приему на работу, так и периодические, представляемые в процессе трудовой деятельности в отношении работников, занятых на тяжелых работах и на работах с вредными и (или) опасными условиями труда (в том числе на подземных работах), а также на работах, связанных с движением транспорта и др. (ст. 213 ТК);

— медицинские заключения, предшествующие заключению трудового договора со спортсменами (ст. 348.3 ТК);

— медицинские заключения о необходимости ухода за больным членом семьи в связи с установлением неполного рабочего времени (ст. 93 ТК);

— информация о наличии у работника двух и более иждивенцев, когда решается вопрос о преимущественном праве оставления на работе (ст. 179 ТК) и др.

8. Персональные данные работника, подлежащие обработке, получают отражение в Унифицированных формах первичной учетной документации по учету труда и его оплаты, утвержденных постановлением Госкомстата России от 5 января 2004 г. N 1, к числу которых отнесены:

1) по учету кадров:

— N Т-1 «Приказ (распоряжение) о приеме работника на работу»;

— N Т-1а «Приказ (распоряжение) о приеме работников на работу»;

— N Т-2 «Личная карточка работника»;

— N Т-2ГС(МС) «Личная карточка государственного (муниципального) служащего»;

— N Т-4 «Учетная карточка научного, научно-педагогического работника»;

— N Т-5 «Приказ (распоряжение) о переводе работника на другую работу»;

— N Т-5а «Приказ (распоряжение) о переводе работников на другую работу»;

— N Т-6 «Приказ (распоряжение) о предоставлении отпуска работнику»;

— N Т-6а «Приказ (распоряжение) о предоставлении отпуска работникам»;

— N Т-8 «Приказ (распоряжение) о прекращении (расторжении) трудового договора с работником (увольнении)»;

— N Т-8а «Приказ (распоряжение) о прекращении (расторжении) трудового договора с работниками (увольнении)»;

— N Т-9 «Приказ (распоряжение) о направлении работника в командировку»;

— N Т-9а «Приказ (распоряжение) о направлении работников в командировку»;

— N Т-10а «Служебное задание для направления в командировку и отчет о его выполнении»;

— N Т-11 «Приказ (распоряжение) о поощрении работника»;

— N Т-11а «Приказ (распоряжение) о поощрении работников»;

2) по учету рабочего времени и расчетов с персоналом по оплате труда:

— N Т-12 «Табель учета рабочего времени и расчета оплаты труда»;

— N Т-13 «Табель учета рабочего времени;

— N Т-53а «Журнал регистрации платежных ведомостей»;

— N Т-60 «Записка-расчет о предоставлении отпуска работнику»;

— N Т-61 «Записка-расчет при прекращении (расторжении) трудового договора с работником (увольнении)»;

— N Т-73 «Акт о приеме работ, выполненных по срочному трудовому договору, заключенному на время выполнения определенной работы».

Постановлением Госкомстата России от 5 января 2004 г. N 1 утверждены указания по применению и заполнению форм первичной учетной документации по учету труда и его оплаты.

9. Статьей 42 Федерального закона «О государственной гражданской службе Российской Федерации» предусмотрено ведение личного дела гражданского служащего, в которое вносятся его персональные данные и иные сведения, связанные с поступлением на гражданскую службу, ее прохождением и увольнением с гражданской службы и необходимые для обеспечения деятельности государственного органа.

Указом Президента РФ от 30 мая 2005 г. N 609 утверждено Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела*(96). В п. 16 этого Положения перечисляются документы, которые должны быть приобщены к личному делу гражданского служащего.

При переводе гражданского служащего на должность гражданской службы в другом государственном органе его личное дело передается в государственный орган по новому месту замещения должности гражданской службы (п. 21 названного Положения).

При назначении гражданского служащего на государственную должность Российской Федерации или государственную должность субъекта Российской Федерации его личное дело передается в государственный орган по месту замещения государственной должности Российской Федерации или государственной должности субъекта Российской Федерации (п. 22 названного Положения).

Личные дела уволенных гражданских служащих (за исключением указанных выше), хранятся кадровой службой соответствующего государственного органа в течение 10 лет со дня увольнения с гражданской службы, после чего передаются в архив. Если гражданин, личное дело которого хранится кадровой службой государственного органа, поступит на гражданскую службу вновь, его личное дело подлежит передаче указанной кадровой службой в государственный орган по месту замещения должности гражданской службы (п. 23 названного Положения).

Статьей 30 Федерального закона от 2 марта 2007 г. N 25-ФЗ «О муниципальной службе в Российской Федерации»*(97) определено ведение личного дела муниципального служащего, к которому приобщаются документы, связанные с его поступлением на муниципальную службу, ее прохождением и увольнением с муниципальной службы. Такие личные дела хранятся в течение 10 лет.

При увольнении муниципального служащего его личное дело хранится в архиве органа местного самоуправления, избирательной комиссии муниципального образования по последнему месту муниципальной службы. При ликвидации органа местного самоуправления, избирательной комиссии муниципального образования, в которых муниципальный служащий замещал должность муниципальной службы, его личное дело передается на хранение в орган местного самоуправления, избирательную комиссию муниципального образования, которым переданы функции ликвидированных органа местного самоуправления, избирательной комиссии муниципального образования или их правопреемникам.

Личное дело муниципального служащего ведется в порядке, установленном для ведения личного дела государственного гражданского служащего.

Трудовым законодательством не урегулирован вопрос о ведении личных дел работников. На практике работодатель ведет личные дела работников, включая в них всю информацию, касающуюся:

1) поступления на работу, а именно:

а) паспортные данные работника;

б) копия страхового свидетельства государственного пенсионного страхования; копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

в) копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);

г) анкетные данные, заполненные работником при поступлении на работу;

д) трудовой договор и др.;

2) трудовой деятельности и прекращения трудовых отношений:

а) копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;

б) заявления, объяснительные и служебные записки работника;

в) документы о прохождении работником аттестации, собеседования, повышения квалификации;

г) иные документы, содержащие сведения о работнике.

10. Государственные и муниципальные органы создают, в пределах своих полномочий, информационные системы персональных данных. В целях обеспечения реализации прав субъектов этих данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом (ст. 13 Федерального закона «О персональных данных»).

11. В некоторых случаях сведения о персональных данных работников объединяются и содержатся в электронной базе данных ведомственного характера на федеральном уровне.

Федеральное агентство морского и речного транспорта обеспечивает ведение электронной базы данных, содержащей сведения об удостоверениях личности моряка, выданных в Российской Федерации. Электронная база данных содержит информацию о каждом удостоверении личности моряка, выданном в Российской Федерации, об удостоверениях личности моряка, действие которых временно приостановлено, а также об изъятых удостоверениях личности моряка.

Информация, содержащаяся в указанной электронной базе данных, ограничивается лишь сведениями, необходимыми для проверки удостоверений личности моряка или статуса моряка, и включает в себя данные, перечень которых приведен в Приложении 2 к Конвенции МОТ N 185, пересматривающей Конвенцию 1958 года об удостоверениях личности моряков (2003 г.)*(98), при полном соблюдении права владельцев удостоверений на конфиденциальность своих персональных данных и удовлетворении всех требований защиты персональных данных, установленных Федеральным законом «О персональных данных» (см. постановление Правительства РФ от 18 августа 2008 г. N 628 «О Положении об удостоверении личности моряка, Положении о мореходной книжке, образце и описании бланка мореходной книжки»*(99)). Приказом Минтранса России от 17 мая 2010 г. N 113 утвержден Порядок ведения электронной базы данных, содержащей сведения о выданных удостоверениях личности моряка, и использования указанных сведений*(100).

12. Распоряжением Правительства РФ от 9 июня 2005 г. N 748-р одобрена Концепция создания системы персонального учета населения Российской Федерации*(101), согласно которой под ней понимается система взаимодействия органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций по обмену персональными данными о гражданах РФ, иностранных гражданах или лицах без гражданства, временно пребывающих и временно или постоянно проживающих в Российской Федерации, на основе современных информационных технологий в рамках обеспечения конституционных прав граждан, а также предоставления услуг населению в соответствии с законодательством РФ.

Концепция определяет роль и место системы персонального учета в структуре государственных информационных систем и ресурсов, цели, принципы, структуру, функции и основные этапы создания и развития системы персонального учета, а также источники финансирования.

13. Персональные данные работника подлежат обработке со стороны работодателя. Под такой обработкой согласно ст. 3 Федерального закона «О персональных данных» понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Федеральный закон «О персональных данных» и ч. 2 комментируемой статьи не содержат исчерпывающего перечня способов обработки персональных данных работников.

Под распространением персональных данных понимаются действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом (п. 4 ст. 3 Федерального закона «О персональных данных»).

Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц (п. 5 ст. 3 Федерального закона «О персональных данных»).

Блокирование персональных данных означает временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе и их передачи (п. 6 ст. 3 Федерального закона «О персональных данных»).

Уничтожение персональных данных — это действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных (п. 7 ст. 3 Федерального закона «О персональных данных»).

Обезличивание персональных данных — это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных (п. 8 ст. 3 Федерального закона «О персональных данных»).

Персональные данные либо представляются самими работниками, либо их получают из иных источников.

Хранение персональных данных должно обеспечиваться в порядке, исключающем их утрату или неправомерное использование.

14. Персональные данные работников, как в условиях ее ручной обработки, так и при использовании автоматизированных информационных систем и технологий могут стать в определенной мере открытыми и привести к ущемлению их прав и интересов, причинить материальный ущерб и моральный вред. В качестве гарантии защиты персональных данных законодателем устанавливаются принципы, лежащие в основе обработки персональных данных работника, положения о порядке их хранения и использования в организации, о передаче персональных данных, правах работника по их защите, об ответственности лиц за невыполнение требований норм, регулирующих обработку и защиту персональных данных работника.

15. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687*(102) (далее — Положение).

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (п. 1 Положения).

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения).

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков) (п. 4 Положения).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель (п. 5 Положения).

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии) (п. 6 Положения).

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;

3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы (п. 7 Положения).

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

1) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

2) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

3) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор (п. 8 Положения).

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию (п. 9 Положения).

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание) (п. 10 Положения).

Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными (п. 12 Положения).

Персональные данные: требования законодательства и ответственность за его несоблюдение.

Семинары и вебинары Аюдар Инфо

Несмотря на то, что требования законодательства о защите персональных данных работников установлены довольно давно и речь об этом идет постоянно, правила все же нарушаются и работники по-прежнему обращаются в суд с исками к работодателям. Суд не всегда встает на сторону истцов, но работодателю лучше изначально не допускать повода для судебных разбирательств. Тем более что скоро ответственность за нарушение порядка сбора, хранения и распространения персональных данных значительно ужесточится. Сегодня напомним, что относится к таким данным, какие обязанности по их защите установлены для работодателей и какой будет ответственность в этой сфере с июля 2017 года.

В силу ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) персональными данными считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту данных). К этой категории сведений относятся:

• фамилия, имя, отчество;
• пол, возраст;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• деловые и иные личные качества, которые носят оценочный характер;
• сведения о заработной плате;
• прочие сведения, которые могут идентифицировать человека.

Относится к персональным данным и изображение человека (фотографии, видеозаписи, портреты), которое позволяет установить его личность. Такие разъяснения, в частности, дает Роскомнадзор («О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

К сведению:

После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, детей, родителей).

Документов, содержащих персональные данные, довольно много, начиная с анкет, заполняемых при трудоустройстве, паспорта, документов об образовании, трудовой книжки, паспорта и заканчивая свидетельствами о заключении брака, рождении детей, медицинскими справками и т. д.

В соответствии со ст. 86 ТК РФ при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами.

Обработка персональных данных работников.

Работодатель обязан соблюдать определенные требования по обработке этих данных.

Обратите внимание:

Обработка персональных данных осуществляется с согласия работника (п. 1 ст. 6, ст. 9 Закона № 152-ФЗ). Причем согласие должно быть конкретным, информированным и сознательным и составленным в письменной форме.

Основные требования к работодателю, осуществляющему обработку персональных данных работников, установлены в ст. 86 ТК РФ. И самое первое заключается в том, что такая обработка может осуществляться работодателем исключительно в целях:

• обеспечения соблюдения законов и иных нормативных правовых актов;
• содействия работникам в трудоустройстве, получении образования и продвижении по службе;
• обеспечения личной безопасности работников, контроля количества и качества выполняемой работы;
• обеспечения сохранности имущества.

При обработке персональных данных работодатель

Получать персональные данные у самого работника. Если их можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие

Получать и обрабатывать сведения о работнике, относящиеся в соответствии со ст. 10 Закона № 152-ФЗ к специальным категориям персональных данных

За счет своих средств обеспечивать защиту персональных данных работника от неправомерного их использования или утраты

Получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности

Ознакомить работников и их представителей под подпись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области

При принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронным путем

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов, в частности Закона № 152-ФЗ.

Передача персональных данных работников.

Итак, одно из самых главных правил при обработке персональных данных – работодатель сразу при трудоустройстве работника должен запросить у него письменное согласие на такую обработку. Причем следует запрашивать согласие и лиц, которые только еще претендуют на должность и также предоставляют свои персональные данные при собеседовании, заполнении анкет и других подобных документов.

Особое внимание следует уделять и передаче персональных данных работников третьим лицам. Ее правила установлены в ст. 88 ТК РФ. В частности, работодатель обязан:

• не сообщать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• предупредить лиц, получающих персональные данные работника, что данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
• осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись;
• разрешать доступ к персональным данным работников только специально уполномоченным лицам, причем они должны иметь право получать лишь те данные работника, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
• передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми данными работника, которые необходимы для выполнения указанными представителями их функций.

К случаям, когда согласие работника на передачу персональных данных не требуется, относится передача определенных сведений о работнике в ФСС, ПФР, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, банк, обслуживающий банковские карты работников, и др.

Права работников.

Отдельная ст. 89 ТК РФ посвящена правам работников в целях обеспечения защиты их персональных данных, хранящихся у работодателя. В частности, работники имеют право:

• на полную информацию об их персональных данных и обработке этих данных;
• на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных ст. 14 Закона № 152-ФЗ;
• на определение своих представителей для защиты своих персональных данных;
• на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору.

Кроме этого, работники имеют право требовать:

• исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он вправе заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия;
• извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Есть у работников и некоторые обязанности. В частности, в соответствии со ст. 88 ТК РФ сотрудник не должен отказываться от прав на сохранение и защиту тайны, а также должен вместе с работодателем вырабатывать меры защиты своих персональных данных.

Ответственность работодателя.

В силу ст. 90 ТК РФ лица, виновные в нарушении положений законодательства РФ при обработке персональных данных работника, привлекаются:

1. К дисциплинарной ответственности в виде замечания, выговора, или увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за однократное грубое нарушение трудовых обязанностей – разглашение персональных данных другого работника.

2. К материальной ответственностив порядке, установленном Трудовым кодексом, а также к гражданско-правовой согласно ГК РФ, на основании искового производства. В частности, работнику возмещается причиненный имущественный ущерб, убытки и моральный вред.

3.К административной ответственности.

Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Штраф, налагаемый на должностных лиц в размере от 1 000 до 3 000 руб.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Предупреждение или штраф: для должностных лиц – от 500 до 1 000 руб., для юридических – от 5 000 до 10 000 руб.

Разглашение информации, доступ к которой ограничен федеральным законом (если ее разглашение не влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных ч. 1 ст. 14.33 КоАП РФ

Штраф, налагаемый на должностных лиц от 4 000 до 5 000 руб.

Согласно ст. 23 Закона № 152-ФЗ органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона № 152-ФЗ и нормативных правовых актов, являетсяФедеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

При этом дела об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ, возбуждают прокуроры.

4. К уголовной ответственности:

• за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);
• за неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 ТК РФ);
• за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло ее уничтожение, блокирование, модификацию либо копирование (ст. 272 УК РФ).

Административная ответственность с 1 июля.

Федеральным законом от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который вступит в силу 1 июля 2017 года,ст. 13.11 КоАП РФ, устанавливающая ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), излагается в новой редакции.

По сравнению с действующей редакцией, вместо одного общего состава правонарушения установлено семь самостоятельных составов. Значительно увеличился размер штрафа. И сделано еще одно серьезное изменение: привлекатьк административной ответственности по ст. 13.11 КоАП РФ с 1 июля будут не прокуроры, а должностные лицаРоспотребнадзора.

А теперь рассмотрим, за что и в каком размере смогут оштрафовать работодателей в случае нарушения ими законодательства о персональных данных работников в соответствии со ст. 13.11.

Часть 1.Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 13.11, если эти действия не содержат уголовно наказуемого деяния, влечет предупреждение или наложение штрафа:

• на должностных лиц – от 5 000до 10 000 руб.;
• на юридических лиц – от 30 000 до 50 000 руб.

Часть 2.Обработка персональных данных без письменного согласия субъекта на обработку его данных в случаях, когда согласие должно быть получено, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку егоданных, влечет наложение штрафа:

• на должностных лиц – от 10 000 до 20 000 руб.;
• на юридических лиц – от 15 000 до 75 000 руб.

Часть 3. Невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных влечет предупреждение или наложение штрафа:

• на должностных лиц – от 3 000 до 6 000 руб.;
• на юридических лиц – от 15 000 до 30 000 руб.

Часть 4. Невыполнение оператором персональных данных обязанности по предоставлению их субъекту информации, касающейся обработки его персональных данных, влечет предупреждение или наложение штрафа:

• на должностных лиц – от 4 000 до 6 000 руб.;
• на юридических лиц – от 20 000 до 40 000 руб.

Часть 5. Невыполнение оператором в сроки, установленные законодательством, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или наложение штрафа:

• на юридических лиц – от 25 000 до 45 000 руб.

Часть 6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении их материальных носителей и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение штрафа:

• на должностных лиц – от 4 000 до 10 000 руб.;
• на юридических лиц – от 25 000 до 50 000 руб.

Часть 7. Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию данных влечет предупреждение или наложение на должностных лиц штрафа в размере от 3 000до 6 000 руб.

В заключение рекомендуем работодателям еще раз проверить, пока изменения не вступили в силу, от всех ли работников получено согласие на обработку персональных данных, ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области, должным ли образом осуществляется хранение и защита персональных данных, соответствует ли документация об их обработкетребованиям законодательства и т. д.

Причем привлечь к административной ответственности могут за нарушения, допущенные при обработке и передаче персональныхданных не только работников, но и граждан, которым организация оказывает различные услуги. Как работники, так иэти лица могут обратитьсяв суд с гражданским иском.

Также не следует забывать, что в случаях, когда действия должностных лиц принарушении в обработке персональных данных привели к серьезным последствиям, может наступить и уголовная ответственность.

Е. В. Давыдова , эксперт журнала

«Отдел кадров коммерческой организации» № 6, июнь, 2017 год.