Законодательство о персональных данных: трудности применения

1731
Кого можно назначить ответственным за обработку персональных данных. Можно ли не получать согласия работников на передачу их персональных данных. Нужно ли уведомлять Роскомнадзор, если компания обрабатывает только персональные данные сотрудников.

Ответственным за обработку персональных данных необязательно должен быть работник

Прошло уже более полугода с момента принятия поправок в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон). Бизнес продолжает приспосабливаться к требованиям нового законодательства и правоприменительной практики. Так, Закон обязывает все компании – операторы персональных данных назначить лицо, ответственное за организацию их обработки1. До вступления в силу новой редакции Закона назначение такого лица было необязательным.

Ответственным лицом может быть не только работник. Закон позволяет назначить в качестве ответственного также лицо, заключившее с оператором (работодателем) гражданско-правовой договор (например, договор оказания услуг).

Если же в качестве ответственного лица планируется назначать именно работника компании (и это является доминирующей тенденцией), то такую функцию может выполнять уже действующий работник в порядке совмещения должностей2. В этом случае ему полагается соответствующая доплата3.

Переквалификация гражданско-правового договора в трудовой. Работник, ответственный за организацию обработки персональных данных, может быть назначен по совместительству из другой компании (например, в случае существования группы компаний)4. Важно иметь в виду, что если в одной из компаний группы компаний функцию ответственного лица выполняет работник по трудовому договору, а в других компаниях группы – то же лицо, но по гражданско-правовому договору (то есть вне штата), то существует риск переквалификации таких отношений в трудовые5, поскольку осуществляемые лицом функции в разных компаниях этой группы будут практически идентичны.

Ответственным за обработку персональных данных не может быть гендиректор. Исходя из буквального толкования Закона, лицом, ответственным за организацию обработки персональных данных, не может быть назначен генеральный директор компании, поскольку согласно ч. 2 ст. 22.1 Закона ответственное лицо подотчетно генеральному директору компании.

В этой связи достаточно остро (в том числе в финансовом плане) встает вопрос для небольших юридических лиц, где, например, единственным работником является собственно генеральный директор: либо специально нанимать работника для выполнения функции ответственного за организацию обработки персональных данных, либо заключать гражданско-правовой договор с подрядчиком, либо не соблюдать требования Закона.

Лучшая кандидатура – специалист в сфере информационных технологий. На практике чаще всего на должность ответственного лица назначаются сотрудники IT-подразделения компании.

Представляется, что так повелось в силу того, что еще до вступления в силу поправок в Закон компаниям-операторам рекомендовалось назначить должностное лицо (работника), ответственное за обеспечение безопасности персональных данных, в функции которого входили бы разработка и осуществление мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе. Безусловно, что указанный функционал больше всего подходит именно специалисту в сфере информационных технологий. Так же на практике ответственным часто назначают специалистов по внутреннему контролю (compliance officers)

Контрольное лицо в случае проверки. При этом необходимо иметь в виду, что лицо, ответственное за организацию обработки персональных данных, будет основным контактным лицом в случае проверки Роскомнадзора6 (сведения о таком лице, а также его контактные данные указывают в уведомлении об обработке персональных данных, которое в Роскомнадзор должна направить практически каждая компания – оператор персональных данных7). В этой связи такое лицо должно не только быть в состоянии компетентно выполнять функции, установленные в Законе, но и иметь опыт и навыки общения с представителями государственных структур. Это требует определенной квалификации и специальных навыков (хотя, безусловно, что для такого рода общения могут также привлекаться иные сотрудники или внешние консультанты, но в экстренных случаях (например, в случае внеплановой выездной проверки) готовым встретить проверяющих должно быть именно ответственное лицо)8.

Таким образом, становится актуальным обучение или повышение квалификации работника, которому планируют поручить функцию ответственного лица.

В случае, когда работник направляется на обучение за счет работодателя, то последний вправе заключить с сотрудником соглашение о последующей отработке такого обучения9.

Если работник увольняется до окончания срока отработки, то он будет обязан полностью или частично компенсировать стоимость обучения.

Если законодательство о персональных данных будет продолжать развиваться, а санкции за его несоблюдение будут возрастать, то в масштабах государства может встать тогда вопрос о подготовке узких специалистов в сфере обработки и защиты персональных данных.

В настоящее время ни один вуз таких специалистов не готовит.

Разработка локальных актов теперь обязательна

Не право, а обязанность. Главным отличием от ранее действовавших норм является то, что теперь положение о персональных данных должно регулировать обработку и защиту персональных данных не только работников, но и иных лиц. К последним относятся родственники работников, кандидаты на должности, представители и работники контрагентов, работники других компаний группы и другие лица (в том числе совершенно случайные, например, направляющие сообщения на один из адресов корпоративной почты компании-оператора).

Многие полагают, что принятие положения о защите персональных данных иных субъектов персональных данных, кроме работников, является необязательным. Эта позиция основывается на том, что если принятие положения о персональных данных работников прямо предусмотрено Трудовым кодексом РФ10, то принятие локального нормативного акта в отношении других категорий субъектов персональных данных может осуществляться по усмотрению работодателя (со ссылкой на ч. 1 ст. 18.1 Закона). Действительно, в начале ст. 18.1 Закона указано, что компания-оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом, а принятие локальных нормативных актов указано якобы в качестве примера. Однако в конце ст. 18.1 Закона11 говорится о том, что оператор обязан представить документы и локальные акты, указанные в части 1 этой статьи, по запросу Роскомнадзора.

Таким образом, фактически принятие локальных нормативных актов является не правом, а обязанностью компаний, поскольку Роскомнадзор может проверить их наличие и в случае отсутствия таковых зафиксировать нарушение требований Закона.

Online-политика в сфере обработки и защиты персональных данных. С учетом специфики обработки персональных данных 1) работников и 2) иных категорий субъектов персональных данных с практической точки зрения рекомендуется принимать два локальных нормативных акта (для каждой категории, соответственно).

В случае принятия одного акта существует риск того, что такой акт получится слишком громоздким, сложным для восприятия и, как следствие, малоэффективным с точки зрения регулирования соответствующих вопросов. Кроме того, в качестве отдельного нормативного акта (актов) может быть принято положение, регулирующее предотвращение, выявление и устранение последствий нарушений законодательства о персональных данных, требования к их защите.

Если суммировать все требования Закона и ТК РФ, которые предъявляются к содержанию локальных нормативных актов в отношении персональных данных, то получается, что соответствующие локальные акты должны не только подробно пересказывать положения законодательства, но и отражать внутренние процедуры компании-оператора и учитывать особенности обработки данных, принятые в каждой конкретной организации.

Важно иметь в виду, что помимо внутренних положений о персональных данных, утверждаемых в качестве локальных актов, большинство операторов должно формировать также online-политику в сфере обработки и защиты персональных данных и размещать ее на сайте в Интернете.

Дело в том, что Закон обязывает принять такую политику для всех операторов, осуществляющих обработку персональных данных с использованием Интернета12, а поскольку сейчас сложно представить современную компанию, которая не использует в своей деятельности хотя бы электронную почту, то и данное требование становится актуальным для многих компаний.

Получение согласия работников на обработку персональных данных обязательно

Новая редакция Закона устанавливает большое количество случаев, когда получать согласие субъекта персональных данных на обработку таких данных не требуется. Например, в соответствии с новой редакцией Закона получать согласие не требуется, когда обработка персональных данных необходима для осуществления прав и законных интересов компании-оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных13.

Казалось бы, исходя из такой формулировки, работодатель вправе беспрепятственно передавать персональные данные своих работников третьим лицам (например, контрагентам) для целей осуществления хозяйственной деятельности.

Более того, ТК РФ требует получения письменного согласия работников на передачу их персональных данных третьим лицам, но содержит оговорку в отношении того, что такое согласие не требуется в случаях, установленных в федеральных законах14.

Однако Закон, в свою очередь, гласит, что особенности обработки персональных данных работников могут устанавливаться в других федеральных законах15. По нашему мнению, налицо перекрестная отсылка. Какая же норма имеет приоритет?

Представляется, что приоритет имеет ТК РФ16, поскольку соответствующие положения кодекса являются специальными по отношению к положениям Закона (персональные данные работников vs персональные данные любых категорий лиц). Также установлено, что в случае противоречия между ТК РФ и иным федеральным законом, содержащим нормы трудового права, применяется ТК РФ17.

Таким образом, работодатели обязаны получать письменное согласие работников на передачу их персональных данных третьим лицам.

Способы убедить работника дать согласие на обработку персональных данных

Необходимо, чтобы работник подписал согласие на обработку персональных данных и был ознакомлен с локальными нормативными актами в сфере обработки и защиты персональных данных непосредственно при приеме на работу (желательно, в первый день работы).

При поступлении на работу работник заинтересован проявить себя с лучшей стороны (особенно, если ему установлен испытательный срок) и не склонен идти на конфликт с работодателем. Согласие, предлагаемое работнику к подписанию, должно быть максимально конкретным и полным, чтобы в дальнейшем как можно реже возникала ситуация, когда повторно требуется получать согласие на совершение тех или иных действий с персональными данными.

При этом, с другой стороны, необходимо учитывать, что обработка персональных данных не должна быть излишней по отношению к заявленным целям обработки18.

В этой связи персональные данные, на обработку которых работник дает согласие, должны отвечать целям обработки.

Во-вторых, не на любую обработку персональных данных требуется получать согласие работника, а даже если такое согласие требуется, то не всегда оно должно быть письменным.

В-третьих, отказ работника от дачи согласия на обработку персональных данных зачастую невыгоден ему самому. В частности, если работник не дает согласия на передачу его персональных данных третьим лицам, то работодатель, например, не может предоставить работнику или членам его семьи дополнительных льгот (например, добровольного медицинского страхования). Более того, без согласия работника на обработку персональных данных зачастую работодатель в принципе не может предоставить работнику работу по трудовой функции (например, если для осуществления трудовых обязанностей требуется передача персональных данных работников третьим лицам). В последнем случае (невозможность предоставить работу по трудовой функции) при определенных обстоятельствах можно говорить даже о простое по вине работника19 (который, как известно, не оплачивается), поскольку работник удерживает согласие без должных мотивов для этого.

В случае с конфликтным работником работодатель может включить в первый проект согласия на обработку персональных данных, предлагаемого к подписанию, максимально широкую формулировку, а потом пойти на компромисс с работником и убрать как бы по требованию последнего ненужную информацию.

Скорее всего, работник будет удовлетворен тем, что ему пошли навстречу, и подпишет вариант согласия, полностью отвечающий интересам работодателя.

Уведомление Роскомнадзора

В качестве общего правила Закон устанавливает обязанность операторов персональных данных направлять уведомление об обработке персональных данных в Роскомнадзор20. Однако из этого правила существует ряд исключений. В качестве одного из таких исключений Закон указывает, что оператор вправе осуществлять обработку данных в соответствии с трудовым законодательством без уведомления Роскомнадзора.

Действительно, теоретически можно представить ситуацию, при которой компания обрабатывает только данные своих сотрудников.

Однако с практической точки зрения всегда имеет место обработка персональных данных иных лиц, поскольку если компания обрабатывает персональные данные только работников, то непонятно, каким образом такая компания осуществляет свою хозяйственную деятельность (например, общается с представителями контрагентов и т. д.).

Кроме того, даже если предположить, что обрабатываются только персональные данные работников, то и в этом случае часто все равно возникает обязанность работодателя уведомить Роскомнадзор.

Так, не любая обработка персональных данных работников осуществляется в рамках трудовых отношений. В частности, в крупных холдингах (особенно с иностранным участием) принято выстраивать служебную иерархию в целом по группе компаний, а не только в каждой отдельной компании группы.

То есть начальником работника в дочерней компании в России может быть как российский коллега этого работника, так и иностранный сотрудник, работающий в компании группы в другой стране. Безусловно, общение между сотрудниками из разных стран требует обработки и передачи (в том числе трансграничной) персональных данных.

Однако с учетом того, что в российском трудовом праве отсутствует такая категория, как «группа лиц», то и говорить о том, что обработка персональных данных (как в указанном примере) осуществляется «в соответствии с трудовым законодательством», не приходится.

Таким образом, характер деятельности практически любой компании предполагает необходимость направления уведомления в Роскомнадзор.

Другой вопрос, что из нескольких миллионов компаний-операторов такое уведомление по состоянию на дату подготовки настоящей статьи направили только чуть более 234 тыс. компаний21.

К сожалению, в рамках одной статьи невозможно ответить на все вопросы, возникающие на практике в связи с применением новых требований Закона.

В данном материале мы попробовали осветить наиболее важные и острые вопросы. Безусловно, практика применения Закона, в том числе судебная, будет постоянно развиваться и, с одной стороны, непременно прояснять многие требования Закона, но, с другой стороны, будет задавать все новые и новые вопросы.

Ключевые моменты при разработке положения о персональных данных

 

 

Статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и ст. 87 ТК РФ на работодателя возложена обязанность принять меры по защите персональных данных. Работодатели утверждают положение о персональных данных. С этим документом работников знакомят под роспись, как правило, при приеме на работу, но до подписания трудового договора (ч. 3 ст. 68 ТК РФ). Таким образом, с реализацией обязанности ознакомить работников с этим документом, как правило, проблем не возникает. Чаще всего работают с персональными данными работников сотрудники отделов персонала и бухгалтерии, и самая деликатная информация находится именно в их распоряжении. При разработке положения необходимо определить должность лица, которое будет ответсвенно за обработку персональных данных. Далее необходимо определить для каждой должности перечень данных, которые они вправе обрабатывать. Большую часть в этом документе должно занимать описание процедур и порядка взаимодействия должностных лиц. В качестве приложений целесообразно разработать унифицированные формы письменных согласий, запросов и так далее. Разработка положения о персональных данных требует глубокого знания правовой базы и бизнес-процессов компании.

 

Закон «О персональных данных» – пример избыточного нормативного регулирования

 

 

Рассмотрим необходимость уведомления Роскомнадзора об обработке персональных данных. Как справедливо отмечено в статье, фактически такая обязанность согласно закону может возникнуть у почти каждого адекватного субъекта хозяйственного оборота. В связи с этим возникает вопрос: зачем Роскомнадзору нужны такие сведения о таком количестве операторов при явно выходящей за пределы разумного возможности уполномоченного органа по контролю за этими субъектами. Какие отсутствовавшие до этого возможности по защите прав субъектов персональных данных дает наличие такой информации в таком объеме? Как раз в связи с отсутствием содержательных ответов на эти вопросы статистика исполнения обязанности по уведомлению Роскомнадзора является такой, как указывает автор статьи.

Обратимся к такой предусмотренной законом мере, как издание локальных актов по вопросам обработки персональных данных. В силу специфики отечественного механизма правового регулирования указанное положение приобрело характер императивного, что подтверждает автор статьи. Ключевое замечание – данные локальные акты должны, помимо прочего, подробно пересказывать положения соответствующего законодательства. Спрашивается, каким образом документы с таким содержанием могут повысить практическую эффективность защиты персональных данных?

Таким образом, на мой взгляд, Закон «О персональных данных» в большей своей части является ярким примером избыточного нормативного регулирования, что, конечно же, не отменяет необходимости соблюдать его положения.

 

_________________________
1Пункт 1 ч. 1 ст. 18.1, п. 7.1 ч. 3 ст. 22, ст. 22.1 Закона.

2Статья 60.2 ТК РФ.

3Статья 151 ТК РФ.

4Статья 60.1, глава 44 ТК РФ.

5Часть 4 ст. 11 ТК РФ.

6 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – главный регулятор в сфере защиты прав субъектов персональных данных.

7Пункт 7.1 ч. 3 ст. 22 Закона.

8 В частности, ответственное лицо обязано:

  • Осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства о персональных данных, включая требования к защите персональных данных;
  • Доводить до сведения работников оператора положения законодательства о персональных данных, положения локальных актов по вопросам обработки персональных данных, требования к защите персональных данных;
  • Организовывать прием и обработку обращений и запросов касательно обработки персональных данных работников и иных субъектов персональных данных или осуществлять контроль за приемом и обработкой таких обращений и запросов.

9 Статьи 57, 249 ТК РФ.

10Пункт 8 ст. 86, ст. 87, абз. 5 ст. 88 ТК РФ.

11Часть 4 ст. 18.1 Закона.

12Часть 2 ст. 18.1 Закона.

13Пункт 7 ч. 1 ст. 6 Закона.

14Статья 88 ТК РФ.

15Часть 1 ст. 4, а также ст. 7 Закона.

16 Хотя, исходя из некоторых разъяснений Роскомнадзора, можно сделать и другой вывод. См., напр., письмо Роскомнадзора от 27.06.2011 № ШР-13444.

17Часть 4 ст. 5 ТК РФ.

18Часть 5 ст. 5 Закона.

19Часть 1 ст. 157 ТК РФ.

20Часть 1 ст. 22 Закона.

21http://www.rsoc.ru/personal-data/register/.
_________________________



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией


Опрос

Когда ваша компания составляет график отпусков?

  • за 2 недели до окончания года 42.86%
  • постфактум, когда работники реально идут в отпуск 10.71%
  • когда дойдут руки 10.71%
  • графика нет, проверок не боимся 0%
  • мы молодцы — уже составили! 35.71%
результаты

Рассылка



© Актион кадры и право, Медиагруппа Актион, 2008–2016

Журнал «Трудовые споры» –
практика разрешения трудовых конфликтов
Использование материалов сайта возможно только с письменного разрешения редакции журнала «Трудовые споры»


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль