С необходимостью хранения и обработки персональных данных сотрудников сталкиваются практически все организации, аптеки – не исключение. Рассмотрим, как должна быть организована работа с  этой информацией в соответствии с законодательством.

Статья 23 Конституции РФ гарантирует гражданам право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. В рамках этой нормы законодательно определены меры по защите персональных данных человека. Согласно ст. 7 закона «О персональных данных» ФЗ-152 (далее –Закон № 152) операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьей стороне и не распространять их без согласия гражданина, если иное не предусмотрено федеральным законом. Именно этим правилом должен руководствоваться работодатель.

Что можно и что нельзя?

К персональным данным относится любая информация, позволяющая идентифицировать работника: в эту категорию попадают практически все документы, касающиеся сотрудников компании, как на бумажных носителях, так и на электронных. Согласно п. 1 ч. 1 ст. 86 ТК РФ обработка персональных данных работников может осуществляться исключительно в целях содействия в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

В соответствии с п. 3 ч. 1 ст. 86 ТК все персональные данные работника следует получать у него самого. Если есть необходимость запрашивать сведения у третьей стороны, то делать это можно только с его письменного согласия. Эта норма применима, например, при получении рекомендаций предыдущих работодателей. Соискатель должен быть проинформирован о соответствующем запросе и дать свое согласие на него. Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим при направлении уведомления в порядке ст. 64.1 ТК. Иногда у работодателя возникает необходимость передачи персональных данных третьим лицам. Например, в банк для перечисления заработной платы и т.д. 

Разрешение работника не требуется, если эта операция осуществляется:

• в целях предупреждения угрозы жизни и здоровью работника

• для нужд налоговых органов, ФСС РФ, ПФР, военных комиссариатов

• по запросу органов прокуратуры, ГИТ, суда, МВД и т.д.

• для органов здравоохранения при несчастном случае.

NB! Получение некоторых видов информации о гражданах прямо запрещено законодательством.

Так, согласно ст. 86 ТК работодатель не имеет права вести сбор так называемых специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также информации о членстве работника в общественных объединениях или его профсоюзной деятельности.

Наша справка

Закон № 152 определяет, что персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

К таким данным относятся:

• фамилия, имя, отчество

• пол, возраст

• изображение человека (фото и видеозапись)

• образование, квалификация, сведения о профессиональной подготовке и повышении квалификации

• место жительства

• семейное положение, наличие детей, родственные связи

• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, государственной службе и др.)

• финансовое положение

• деловые и иные личные качества, которые носят оценочный характер

• биометрические персональные данные

• специальные категории персональных данных

• иные сведения.

Шаг 1. Издаем локальный акт и определяем ответственное лицо

Работодателю необходимо разработать Положение о персональных данных (ст. 87 ТК РФ), фиксирующее все необходимые аспекты работы с этой информацией (определение персональных данных, их сбор, хранение, передача, защита, ответственность за разглашение), и ознакомить с документом всех сотрудников компании под роспись (п. 8 ст. 86 ТК РФ). Далее, согласно п. 1 ст. 22.1 Закона № 152 необходимо назначить приказом лицо, ответственное за организацию обработки персональных данных. Этот сотрудник также будет нести ответственность и за сохранность информации в электронном виде. Ответственных за обработку персональных данных может быть несколько.

Шаг 2. Закрепляем права доступа

Согласно ст. 88 ТК работодатель обязан разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом эти лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций. Помня о том, что владение персональными данными должно быть связано с трудовыми отношениями, необходимо определить, кто из сотрудников вправе по роду деятельности знать информацию о коллегах. Форма разрешения доступа к персональным данным законом не установлена. Но лучше сделать это приказом по организации.

Шаг 3. Получаем обязательства о нераспространении

У работников, имеющих доступ к персональным данным, нужно взять обязательства о неразглашении этой информации. Согласно ст. 88 ТК необходимо предупредить их о том, что они могут пользоваться полученными сведениями только в тех целях, для которых были сообщены.

NB! Привлечь работника к ответственности за разглашение персональных данных можно, только если он получил их в связи с исполнением трудовых обязанностей и давал обязательство о неразглашении (п. 43 постановления пленума Верховного суда РФ от 17.03.2004 № 2 «О применении судами РФ Трудового кодекса РФ»).

Шаг 4. Организуем хранение

Документы, содержащие персональные данные, должны быть защищены работодателем от утраты и неправомерного использования. Специальных указаний, как именно технически обеспечить их сохранность, в законодательстве нет. Согласно ст. 87 ТК порядок хранения персональных данных устанавливается работодателем. Он должен быть закреплен локальным нормативным актом (Положением о персональных данных). Фактически для этого могут использоваться как несгораемые, так и деревянные шкафы, закрывающиеся на ключ. Большинство организаций наряду с бумажными носителями используют электронные системы хранения и обработки персональных данных. Работодатель должен обеспечить их защиту в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением правительства РФ от 01.11.2012 № 1119.

Возможные санкции

В соответствии со ст. 90 ТК РФ работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных, может быть привлечен к различным видам ответственности:

• административная ответственность по ст. 13.14 КоАП РФ (разглашение информации с ограниченным доступом лицом, получившим доступ к персональным данным) – штраф для граждан от 500 до 1000 рублей, для должностных лиц – 4000–5000 рублей;

• дисциплинарная ответственность по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ – выговор, увольнение;

• материальная ответственность (п. 7 ч. 1 ст. 243 ТК РФ);

• гражданско-правовая ответственность (за причинение морального вреда) по ст. 151, ст. 1099 ГК РФ;

• уголовная ответственность (ст. 137 УК РФ) штраф в сумме заработной платы за 18 месяцев, обязательные работы на срок от 120 до 180 часов, исправительные работы до 1 года.

Нужно иметь в виду, что законодательство о персональных данных продолжает меняться.

Так, федеральным законом от 07.02.2017 № 13-ФЗ «О внесении изменений в КоАП РФ» с 01.07.2017 ужесточена ответственность организаций за нарушения в данной сфере. Теперь согласно ст. 13.11 КоАП работодателю могут грозить штрафы в следующих случаях:

• обработка персональных данных в целях, не связанных с трудовыми отношениями – до 50  тыс. рублей

• обработка персональных данных без согласия работников, когда такое согласие требуется – до 75 тыс. рублей

• отсутствие у работников доступа к политике по обработке данных – до 30 тыс. рублей

• сокрытие информации об обработке персональных данных – до 40 тыс. рублей

• невыполнение требований об уточнении или блокировке персональных данных– 45 тыс. рублей

• непринятие мер по обеспечению сохранности персональных данных – 50 тыс. рублей.

Шаг 5. Получаем согласие

В силу п. 1 ст. 6, ст. 9 Закона № 152 обработка персональных данных осуществляется после получения согласия работника. Поскольку в случае возникновения спора доказать его наличие должен работодатель (ч. 3 ст. 9 Закона), целесообразно и этот этап оформить в письменном виде. В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона).

Работодатель вправе поручить обработку персональных данных (ведение кадрового, бухгалтерского учета и пр.) другому лицу (ч.  3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора). При этом ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона о персональных данных).

NB! В соответствии с ч. 1 ст. 22 Закона № 152 оператор обязан уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных. 

Однако согласно ч. 2 ст. 22 работать с персональными данными, которые необходимы в соответствии с Трудовым кодексом, оператор вправе без уведомления уполномоченного органа. То есть если данные обрабатываются только в рамках трудовых отношений, то сообщать об этом оператор не обязан.

 

Юлия Жижерина

Журнал "Российские аптеки" №3, 2018