Отказывая П. в удовлетворении исковых требований, суд первой инстанции пришел к выводу, что нормы ТК РФ, регулирующие получение, обработку и защиту персональных данных, ответчиком не нарушены, также не нарушены права и законные интересы П., в связи с чем его требование о взыскании компенсации морального вреда не было удовлетворено. Судебная коллегия находит данные выводы суда правильными по следующим основаниям. Персональные данные П. в виде его фамилии были получены ответчиком от самого истца при заключении трудового договора на основании предъявленных им документов, таким образом, положение п. 3 ст. 86 ТК РФ, в соответствии с которым все персональные данные работника следует получать у него самого, работодателем нарушено не было.
Таким образом, использование работодателем персональных данных П. в виде указания его фамилии в конструкторской документации было обусловлено выполнением трудовых обязанностей истца, выполнено в соответствии с должностной инструкцией П. и действующими нормами трудового права. Каких-либо доказательств того, что документы, в которых была указана фамилия истца, не относятся к области трудовых обязанностей П., в материалах дела не имеется.
Исходя из изложенного использование ответчиком персональных данных истца было выполнено в соответствии со ст. 86 ТК РФ, в связи с чем суд первой инстанции правильно пришел к выводу о том, что работодатель не нарушил прав истца в процессе получения, обработки и защиты его персональных данных.
См.: Определение Санкт-Петербургского городского суда от 24.01.2012 N 33-712/2012.
Запросы в вуз о подтверждении обучения работника, являющегося учащимся данного вуза, также нельзя отнести к неправомерному разглашению персональных данных работника.
Из материалов дела следует, что 20 сентября 2010 г. ответчиком был направлен запрос в Тюменский государственный университет о том, является ли истица студенткой данного учебного заведения. Указанный запрос нельзя отнести к распространению работодателем персональных данных работника. В данном случае работодатель предпринял действие, направленное на получение персональных данных, однако в деле отсутствуют доказательства того, что эти данные работодатель получил, кроме того, сведения о том, что истица является студенткой указанного учебного заведения, были сообщены работодателю самой истицей, эта же информация была и до указанного запроса известна учебному заведению, поэтому сведения об истице не стали известны лицам, которые ранее этими сведениями не обладали.
См.: Апелляционное определение Суда Ханты-Мансийского автономного округа - Югры от 21.03.2012 N Н33-448/12.
2. Комментируемая статья предусматривает, что обработка персональных данных работника может осуществляться исключительно в целях:
- обеспечения соблюдения законов и иных нормативных правовых актов;
- содействия работникам в трудоустройстве, получении образования и продвижении по службе;
- обеспечения личной безопасности работников;
- контроля количества и качества выполняемой работы;
- обеспечения сохранности имущества.
При этом самого понятия обработки персональных данных в комментируемой статье нет, оно предусмотрено в п. 3 ст. 3 Закона о персональных данных. Так, обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3. При обработке персональных данных необходимо соблюдать следующие принципы, установленные в ст. 5 Закона о персональных данных:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. В ряде случаев возможна передача персональных данных работника без его согласия, например, согласно п. 4 разъяснений Роскомнадзора "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве". Так, работодатель согласно ст. 22 ТК РФ обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности Федеральным законом от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации", Федеральным законом "Об основах обязательного социального страхования", Федеральным законом от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации".
Таким образом, передача персональных данных работников в ФСС России, ПФР осуществляется без их согласия.
Согласие работника, государственного служащего не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе при его командировании (в соответствии с Правилами предоставления гостиничных услуг в Российской Федерации, утвержденными Постановлением Правительства РФ от 25.04.1997 N 490, нормативными правовыми актами в сфере транспортной безопасности).
Под исключения, связанные с отсутствием необходимости получения согласия, подпадают случаи передачи работодателем персональных данных работников, государственных служащих в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством РФ.
Так, в соответствии со ст. ст. 17, 19 Федерального закона "О профессиональных союзах, их правах и гарантиях деятельности" для осуществления своей уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам, в том числе осуществлять контроль за соблюдением работодателями, должностными лицами законодательства о труде, по вопросам трудового договора (контракта), рабочего времени и времени отдыха, оплаты труда, гарантий и компенсаций, льгот и преимуществ, а также по другим социально-трудовым вопросам в организациях, в которых работают члены данного профсоюза, и имеют право требовать устранения выявленных нарушений.
Суд отметил, что при передаче персональных данных работника работодатель должен соблюдать ограничения, установленные положениями ст. 88 ТК РФ.
Представители работников, в частности выборный профсоюзный орган, применительно к получению персональных данных работника являются третьей стороной. Поэтому передача работодателем данной информации осуществляется в соответствии с ограничениями и правилами, установленными ст. 88 ТК РФ. Представители работников обязаны соблюдать режим конфиденциальности полученных ими персональных данных работника.
Поскольку указанные выше нормы позволяют первичной профсоюзной организации в целях осуществления профсоюзного контроля за соблюдением работодателями, должностными лицами законодательства о труде, в том числе по вопросам оплаты труда, истребовать у работодателя необходимые сведения, отказ ответчика в предоставлении этих сведений профсоюзной организации является необоснованным.
Судебная коллегия считает, что истец вправе требовать от ответчика только той информации по социально-трудовым вопросам, которая необходима ему для защиты прав и интересов членов профсоюза, поскольку доказательств, свидетельствующих о полномочиях в отношении других работников, не являющихся членами профсоюза, истец не представил. Исходя из этого, истец имеет право требовать карты аттестации рабочих мест, занимаемых членами профсоюза. Оснований для передачи всех карт аттестации не имеется, поскольку они к тому же содержат персональные данные, не подлежащие передаче третьим лицам. Само положение о проведении аттестации персональных данных работников не содержит и может быть передано истцу.
См.: Определение Свердловского областного суда от 13.09.2012 N 33-11534/2012.
Согласие работника не требуется при получении в рамках установленных полномочий мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством РФ.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:
- договор на выпуск банковской карты заключался напрямую с работником, и в его тексте содержатся положения, предусматривающие передачу работодателем персональных данных работника;
- у работодателя имеется доверенность на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
- соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).
Подтверждение изложенному можно найти в судебной практике.
На основании договора между ответчиками работодатель передал в банк персональные данные истца для изготовления банковской карты для выплаты заработной платы истцу. Однако при этом согласие истца на передачу таких данных ответчиком не было получено. Между тем в силу ст. 88 ТК РФ такое согласие необходимо было истребовать. При таких обстоятельствах вывод суда о нарушении ответчиком трудовых прав истца, в том числе права на конфиденциальность персональных данных работника, является правильным и основан на исследованных судом материалах дела. Суд пришел к выводу о недоказанности вины банка в причинении морального вреда истцу. В соответствии со ст. 88 ТК РФ соблюдение правил передачи персональных данных третьему лицу возлагается на передающую сторону, в данном случае на работодателя. Передача персональных данных осуществлена в рамках трудовых правоотношений. Как установлено судом, банковская карта с указанием персональных данных истца банком изготовлена в соответствии с договором между ответчиками. Банковская карта ввиду отказа от получения истцом уничтожена, обработка персональных данных прекращена, договор между сторонами не заключался. Доказательств того, что переданные банку персональные данные истца использованы банком, не имеется. Негативных последствий для истца не наступило. Отказ от услуг банка по пользованию кредитной картой и от заключения договора является правом истца, причиной отказа нарушение правил конфиденциальности персональных данных не является. При таких обстоятельствах нельзя считать, что банком причинен моральный вред истцу нарушением его неимущественных прав.
См.: Определение Верховного суда Республики Саха (Якутия) от 21.12.2011 N 33-46071.
Имеет право истребовать персональные данные работников прокурор.
Так, суд отметил, что ст. 88 ТК РФ предусмотрено, что при передаче персональных данных работника работодатель должен соблюдать ряд условий, в том числе: не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Кодексом или иными федеральными законами; разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
В силу ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Из приведенных положений действующего федерального законодательства следует, что прокурор является специально уполномоченным лицом, на которого возложены функции надзора за исполнением законодательства о муниципальной службе и противодействии коррупции, поэтому в рамках предоставленных ему полномочий он праве истребовать необходимую информацию, в том числе о персональных данных муниципальных служащих, с целью проведения соответствующих проверок.
См.: Постановление Сахалинского областного суда от 07.10.2011 N 4а-260.
5. Пункт 4 ст. 9 Закона о персональных данных устанавливает, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
При этом работник может отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В этом случае оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии строго определенных оснований (например, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей) (пп. 2 ч. 1 ст. 6 Закона о персональных данных).
6. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами РФ с учетом положений Закона о персональных данных (ч. 3 ст. 4 закона).
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено Постановлением Правительства РФ от 15.09.2008 N 687.
Пункт 1 данного положения предусматривает, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения об особенностях обработки данных, осуществляемой без использования средств автоматизации).
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков) (п. 4 названного положения).
Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии) (п. 6 указанного положения).
Обратите внимание: при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (типовая форма), должны соблюдаться следующие условия.
Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных.
Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных.
Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Статья 87. Хранение и использование персональных данных работников
Комментарий к статье 87
1. Комментируемая статья предусматривает, что порядок хранения и использования персональных данных работников должен установить работодатель. Иными словами, работодатель должен разработать локальный нормативный акт, в котором будут регламентированы все перечисленные вопросы. С таким документом всех работников необходимо ознакомить под роспись.
Часть 7 ст. 5 Закона о персональных данных предписывает осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2. При использовании персональных данных работодатель обязан обеспечить их защиту.
Согласно ч. 2 ст. 19 Закона о персональных данных обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Требования к защите персональных данных при их обработке в информационных системах персональных данных утверждены Постановлением Правительства РФ от 01.11.2012 N 1119.
Согласно п. 2 этих Требований система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе (п. 3 указанных Требований).
3. Персональные данные государственных служащих, сведения об их профессиональной служебной деятельности и о стаже (об общей продолжительности) государственной службы вносятся в личные дела и документы учета государственных служащих. Ведение и хранение указанных дел и документов осуществляются в соответствии с федеральными законами и иными нормативными правовыми актами РФ, законами и иными нормативными правовыми актами субъектов РФ (п. 3 ст. 14 Федерального закона от 27.05.2003 N 58-ФЗ "О системе государственной службы Российской Федерации"). Требования, которые должна соблюдать при обработке, хранении и передаче персональных данных гражданского служащего кадровая служба государственного органа, предусмотрены ст. 42 Закона N 79-ФЗ.
Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела утверждено Указом Президента РФ от 30.05.2005 N 609.
Например, Положение об организации работы с персональными данными федерального государственного гражданского служащего Федерального агентства по обустройству государственной границы Российской Федерации и ведении его личного дела утверждено Приказом Росграницы от 13.10.2008 N 101.
Согласно п. 7 названного Положения реализация требований по обеспечению безопасности персональных данных в информационных системах персональных данных возлагается на структурные подразделения центрального аппарата агентства, эксплуатирующие эти системы.
Отдел информационных технологий управления обустройства объектов государственной границы и администрирования пунктов пропуска обеспечивает защиту персональных данных, обрабатываемых в информационных системах персональных данных с использованием средств автоматизации.
Для выбора и реализации методов и способов защиты информации в информационных системах персональных данных могут привлекаться организации, имеющие оформленную в установленном порядке и действующую лицензию на осуществление деятельности по технической защите конфиденциальной информации (см. Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное Постановлением Правительства РФ от 03.02.2012 N 79).
При обработке персональных данных в информационных системах персональных данных в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных должны быть обеспечены:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных.
Статья 88. Передача персональных данных работника
Комментарий к статье 88
Комментируемая статья предусматривает порядок передачи персональных данных работников. По общему правилу работодатель не имеет права сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.
Так, суд, разрешая требования истца, пришел к выводу, что информация о численности, о составе работников, о системе оплаты труда не является коммерческой тайной, ее предоставление по запросу СМИ не нарушает требования действующего законодательства, а сведения, содержащиеся в штатном расписании с указанием должностных окладов, в трудовом контракте работника, приказах о начислении премий работникам, являются персональными данными и не могут быть предоставлены СМИ без согласия работника, в связи с чем исковые требования о представлении штатного расписания с указанием должностных окладов, копии контракта, заключенного между директором ОАО Б. и администрацией города, приказов и распоряжения о начислении премий сотрудникам ОАО за 2011 год суд удовлетворил частично, возложив на ответчика лишь обязанность предоставить редакции газеты информацию о численности, составе работников, системе оплаты труда ОАО.
Не оспаривая правильность выводов суда в части права СМИ на получение сведений о численности, составе, системе оплаты труда работников организации, ответчик в апелляционной жалобе полагает, что суд первой инстанции вышел за пределы заявленных истцом исковых требований.
Доводы жалобы в этой части являются необоснованными, поскольку, возлагая на ответчика обязанность предоставить сведения о численности, составе, системе оплаты труда, суд по существу разрешил исковые требования истца о предоставлении информации, содержащейся в штатном расписании, поскольку в нем имеются сведения о составе, количестве работников, а также системе оплаты труда. В то же время сведения, которые суд обязал предоставить ответчика, не содержат сведения о персональных данных работников организации.
Дата добавления: 2015-10-21; просмотров: 18 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |