Статья 86 ТК РФ (последняя редакция с комментариями). Общие требования при обработке персональных данных работника и гарантии их защиты
СТ 86 ТК РФ.
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Комментарий к Ст. 86 Трудового кодекса РФ
Бесплатная юридическая консультация по телефонам:
8 (499) 938-53-84 (Москва и МО)
8 (812) 467-95-33 (Санкт-Петербург и ЛО)
8 (800) 301-79-07 (Регионы РФ)
1. Основой для формирования отраслевых норм о защите информации являются отнесенные к числу основных прав человека права на неприкосновенность частной жизни, личную тайну. Так, Всеобщая декларация прав человека 1948 г. в ст. 12 провозглашает, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств. Аналогичное правило содержится в ст. 17 Международного пакта о гражданских и политических правах 1966 г.
Статья 8 Конвенции о защите прав человека и основных свобод 1950 г. обязывает государства - участников Конвенции обеспечить право каждого человека на уважение его личной и семейной жизни, его жилища и его корреспонденции. Вмешательство в осуществление этого права государственных органов не допускается, за исключением вмешательства, предусмотренного законом и необходимого в демократическом обществе в интересах государственной безопасности и общественного спокойствия, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц. Аналогично трактует данное право и ст. 9 Конвенции СНГ "О правах и основных свободах человека" 1995 г.
Конституция РФ гарантирует каждому человеку право на неприкосновенность частной жизни, личную и семейную тайну (ст. 23). При этом сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ч. 1 ст. 24). К информации, защищаемой на конституционном уровне, относятся сведения о национальной принадлежности, политических, религиозных и иных убеждениях работника, его частной, в том числе и семейной, жизни. В то же время каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ч. 4 ст. 29). Каждое из указанных прав может быть ограничено исключительно федеральным законом и только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
2. Понятие "персональные данные работника" сформулировано в ст. 2 Конвенции Совета Европы "О защите личности в связи с автоматической обработкой персональных данных" 1981 г., которая под персональными данными понимает "информацию, касающуюся конкретного или могущего быть идентифицированным лица (субъекта данных)". Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" дает следующее определение данного понятия: персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Сравнивая указанные определения, можно сделать вывод о характере персональных данных:
а) они представляют собой информацию, т.е. какие-либо сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
б) они являются сведениями, направленными на идентификацию личности в широком смысле данного понятия (не только об идентификационных характеристиках личности как физического лица, т.е. фамилии, имени, отчестве, дате рождения и т.п., но и ее биографии, навыках, профессиональных характеристиках).
Таким образом, между приведенными определениями нет принципиальных различий.
3. Получение определенной информации о работнике является обязанностью работодателя. Такая информация необходима работодателю в первую очередь для исполнения обязанностей, возложенных на него ТК РФ. В частности, установление особых правил регулирования труда работников в возрасте до 18 лет (гл. 42), лиц с семейными обязанностями (гл. 41) предполагает необходимость получения работодателем информации о возрасте работника, о наличии или об отсутствии у него детей, а нормы о преимущественном праве оставления на работе (ст. 179) - еще и о составе его семьи.
Получение работодателем информации о работнике косвенно определяется и законодательством иной отраслевой принадлежности. Так, ст. 24 Налогового кодекса РФ (далее - НК) наделяет работодателя статусом налогового агента работника. В этом статусе работодатель обязан правильно и своевременно исчислять и перечислять налоги в бюджетную систему Российской Федерации, вести учет начисленных и выплаченных налогоплательщикам доходов, удержанных и перечисленных в бюджетную систему Российской Федерации налогов, в том числе персонально по каждому налогоплательщику.
4. Статья 9 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" относит персональные данные граждан к информации ограниченного доступа. Порядок доступа к ней устанавливается федеральным законом. Данный правовой режим персональных данных работника предполагает особый порядок работы с указанными данными, особый режим их охраны.
5. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Федерального закона "О персональных данных"). Обработка персональных данных работника охватывает все стадии работы работодателя с этими данными от их получения до передачи иным лицам в соответствии с действующим законодательством.
6. Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных устанавливает, что персональные данные должны: быть получены и обработаны добросовестным и законным образом; накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями; быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются; быть точными и при необходимости обновляться; храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.
Принципы обработки персональных данных сформулированы в ст. 5 Федерального закона "О персональных данных": а) законность и справедливость; б) достижение конкретных, заранее определенных и законных целей; в) недопустимость объединения баз данных, обработка которых осуществляется в целях, несовместимых между собой; г) обработка только тех персональных данных, которые отвечают заявленным целям; д) достаточность персональных данных для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при их сборе; е) точность, достаточность и актуальность персональных данных; ж) ограниченность срока хранения персональных данных целями их обработки.
Пункт 1 комментируемой статьи устанавливает конкретные цели обработки персональных данных работника. Работа с ними осуществляется работодателем не только напрямую в целях обеспечения личной безопасности работников (обеспечение права на труд в условиях безопасности и гигиены), содействия работникам в трудоустройстве, получении образования и продвижении по службе (обеспечение прав на заключение трудового договора, профессиональную подготовку, развитие личности), но и в целях оптимального исполнения работодателем своих обязанностей перед работником, а также для обеспечения контроля количества и качества выполняемой работы, сохранности имущества. В данном случае речь идет об обеспечении сохранности имущества работодателя. Достижению этой цели способствует, например, получение работодателем информации о приговоре суда, которым работник лишен права заниматься деятельностью, связанной с обслуживанием денежных, товарных ценностей или иного имущества.
7. Трудовой кодекс не содержит перечня сведений, которые работодатель вправе собирать в отношении конкретного работника, ограничиваясь указанием, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
В соответствии с ТК РФ (см. ст. 65 ТК РФ и комментарий к ней) при приеме на работу работодатель получает о работнике следующую информацию:
о стаже работника, подтверждаемом трудовой книжкой (данная информация необходима для определения размера выплачиваемого работнику пособия по временной нетрудоспособности);
о регистрации работника в системе государственного пенсионного страхования, подтверждаемой страховым свидетельством государственного пенсионного страхования;
о состоянии работника на воинском учете, подтверждаемую документами воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
об образовании, квалификации работника, наличии у него специальных знаний, что подтверждается документами об образовании, о квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);
о возрасте работника, месте его жительства, гражданстве, подтверждаемую паспортом или иным документом, удостоверяющим личность;
о наличии или об отсутствии у работника семейных обязанностей, что подтверждается паспортом;
о наличии (об отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, связанную с деятельностью, к осуществлению которой не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию.
Перечень стандартизированных персональных данных работника, получаемых от него работодателем, можно определить на основании Постановления Государственного комитета РФ по статистике от 5 января 2004 г. N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты", которым утверждена форма личной карточки работника. К этим сведениям относятся данные о дате и месте рождения работника; о гражданстве, знании иностранного языка; об образовании (образовательной организации, которую окончил работник, квалификации по диплому); о состоянии работника в браке, составе семьи с указанием фамилии, имени, отчества, года рождения ближайших родственников; о документе, удостоверяющем личность работника; об адресе места жительства (по паспорту и фактическом); о номере домашнего телефона; о состоянии работника на воинском учете.
Круг сведений, определенных данным Постановлением, расширен по сравнению с федеральным законом. При этом сбор информации о ближайших родственниках работника, за исключением информации о детях или родственниках, за которыми требуется постоянный уход, не соответствует общему принципу, согласно которому работодатель собирает только ту информацию, которая может быть использована в трудовых отношениях. Впрочем, отказ работника от ее предоставления не может повлечь для него неблагоприятных последствий.
В силу своих обязанностей налогового агента работника (ст. 24 НК) работодатель должен иметь информацию о дате рождения работника, реквизитах документа, удостоверяющего личность работника-налогоплательщика, полном адресе постоянного места жительства работника, об идентификационном номере налогоплательщика - физического лица (если такой номер имеется), о номере страхового свидетельства работника в системе обязательного пенсионного страхования (если такой номер имеется), а также информацию, на основании которой производятся налоговые вычеты.
В целях регистрации работника в системе государственного пенсионного страхования работодатель обязан иметь информацию о дате и месте рождения работника, адресе его постоянного места жительства, серии, номере, дате и месте выдачи паспорта или иного документа, удостоверяющего личность, наименовании органа, выдавшего соответствующий документ, гражданстве работника, фамилии, которая была у работника при рождении (ст. 6 Федерального закона от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования").
8. По общему правилу все персональные данные работника работодатель должен получать у самого работника. Однако из данного правила установлено исключение - в том случае, когда персональные данные работника могут быть получены исключительно у какого-либо третьего лица, то получение соответствующих сведений возможно не у работника, а у данного лица. При этом работник должен быть извещен о предполагаемом получении его персональных данных у иного лица (государственного органа, предыдущего работодателя и т.п.) до обращения к соответствующему лицу с запросом о предоставлении персональных данных работника. Такое извещение целесообразно осуществлять в форме уведомления о будущем получении персональных данных работника у иного лица, предъявляемого работнику под расписку. При отказе работника от ознакомления с данным уведомлением об этом составляется акт, который должен быть подписан лицами, предъявившими работнику соответствующее уведомление.
В уведомлении указываются цели получения персональных данных работника у иного лица, предполагаемые источники информации (лица, у которых будут запрашиваться персональные данные работника), способы получения персональных данных, их характер, а также те последствия, которые наступят, если работник откажет работодателю в получении персональных данных у иного лица. Цели получения персональных данных работника у иного лица работодателю необходимо определять в соответствии с п. 1 комментируемой статьи.
Получение персональных данных работника у иного лица возможно только при наличии письменного согласия работника на такое получение. Письменное согласие работника должно включать: фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; наименование (фамилию, имя, отчество) и адрес работодателя, получающего согласие; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных; срок, в течение которого действует согласие, а также способ его отзыва, подпись работника (ст. 9 Федерального закона "О персональных данных"). Данный порядок получения персональных данных распространяется также на случаи проверки работодателем персональных данных, представленных работником и вызывающих у работодателя обоснованные сомнения, и на случаи сокрытия работником информации, относящейся к его персональным данным.
9. По общему правилу работодатель не вправе получать данные о расовой, национальной принадлежности работника, его политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Данное правило направлено на защиту работника от возможной дискриминации по причине его убеждений или особенностей частной жизни (в частности, его сексуальной ориентации).
Вместе с тем в ряде случаев информация о политических или религиозных убеждениях работника может иметь существенное значение для заключения с ним трудового договора или сохранения трудовых отношений. Так, если характер трудовой функции работника, занятого в религиозной организации, предполагает его участие в совершении религиозных обрядов, осуществляемом в соответствии с внутренними наставлениями религиозной организации лицами, исповедующими определенную религию или над которыми был совершен определенный религиозный обряд, работодатель должен обладать информацией о религиозных убеждениях работника.
Работодатель вправе получать информацию о состоянии здоровья работника путем проведения в установленных федеральными законами случаях медицинского освидетельствования при заключении трудового договора, периодических и внеочередных медицинских осмотров (см. ст. ст. 69, 213, 266 ТК РФ и комментарий к ним), что направлено на охрану здоровья работника.
Данные о частной жизни работника работодатель вправе получать только с его согласия. Как правило, предоставление таких данных осуществляется непосредственно работником в целях реализации его прав и интересов. К информации о частной жизни работника относятся прежде всего данные о семейных обязанностях работника, о наличии или об отсутствии у него детей. Следует, однако, иметь в виду, что информация о частной жизни работника может поступать к работодателю и от третьих лиц. Так, органы следствия могут потребовать от работодателя отстранить от работы работника, выполняющего воспитательные функции, при совершении им не при исполнении трудовых обязанностей аморального проступка, содержащего признаки преступления. В этом случае данные о частной жизни работника приобретают значение данных предварительного следствия и могут быть использованы работодателем, несмотря на отсутствие письменного согласия работника на их обработку.
10. Данные о членстве работника в общественных объединениях или его профсоюзной деятельности работодатель по общему правилу не имеет права собирать и обрабатывать. Получение этих данных возможно в случаях, предусмотренных ТК РФ или иными федеральными законами. Трудовой кодекс обязывает работодателя перед увольнением работника, являющегося членом профсоюза, в определенных случаях испросить мотивированное мнение выборного органа первичной профсоюзной организации (см. ст. 82 ТК РФ и комментарий к ней), признать в качестве представительного профсоюза ту первичную профсоюзную организацию, которая объединяет более половины работников (см. ст. 37 ТК РФ и комментарий к ней). Увольнение руководителей выборных коллегиальных органов первичных профсоюзных организаций и их заместителей по ряду оснований допустимо только с предварительного согласия вышестоящего выборного профсоюзного органа (см. ст. 374 ТК РФ и комментарий к ней).
Соответственно, ТК РФ фактически обязывает работодателя собирать и обрабатывать информацию о членстве работника в конкретном профсоюзе и о его профсоюзной деятельности. При этом вышеуказанные нормы фактически не только побуждают работодателя искать информацию о членах профсоюза и профсоюзных активистах, но и обязывают профессиональный союз предоставлять такую информацию по запросу работодателя. Это в свою очередь может привести к оказанию давления на членов профсоюза со стороны недобросовестного работодателя.
11. Под автоматизированной обработкой персональных данных следует понимать операции, полностью или частично осуществляемые с применением автоматизированных средств. Автоматизированные базы данных могут быть географически разрознены и собираться воедино через компьютерные сети. Базы данных, хранящиеся в электронном виде, в большей мере, чем информация, содержащаяся на бумажном носителе, доступны для неправомерного внедрения и корректировки или для корректировки, осуществляемой в результате сбоя в компьютерной программе. Поэтому персональные данные работника, полученные или обрабатываемые исключительно в автоматизированном (электронном) виде, не могут быть положены в основу решения работодателя, затрагивающего интересы работника.
Однако установление данного правила не означает, что персональные данные работника должны в обязательном порядке переводиться на бумажный носитель.
Допустимыми будут действия работодателя, который во избежание возможной ошибки перед принятием решения ознакомит работника с его персональными данными, хранящимися в автоматизированном (электронном) виде, с целью сверки этих данных и фиксации на бумажном носителе характера этих данных, времени ознакомления с ними работника и личной подписи работника в подтверждение точности сохраняемых данных. В целях подтверждения работодателем своей позиции при разрешении возможных трудовых споров персональные данные работника следует сохранять не только в автоматизированном (электронном) виде, но и на бумажном носителе.
12. Защита персональных данных работника от их неправомерного использования или утраты является обязанностью работодателя и осуществляется им в соответствии с ТК РФ и Федеральным законом "О персональных данных". Как правило, разработка мероприятий по защите персональных данных работника осуществляется в рамках общих мероприятий по защите информации ограниченного доступа, находящейся в собственности или во владении работодателя.
13. Порядок получения, хранения, передачи и любого иного использования персональных данных работника должен быть зафиксирован в специальном локальном нормативном акте (актах). Соответствующий порядок может устанавливаться как в приказе (распоряжении) работодателя, так и в коллективном договоре в качестве одного из приложений к нему. С необходимым актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.
14. Право работника как человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну в силу ч. 2 ст. 17 Конституции РФ принадлежит ему от рождения и неотчуждаемо. Отказ работника от своего права на сохранение и защиту тайны юридически ничтожен и не порождает никаких правовых последствий.
15. Несмотря на то что защита персональных данных работника от их неправомерного использования или утраты возложена на работодателя, работники и их представители участвуют в создании системы защиты персональных данных. Участие работников и их представителей в выработке таких мер позволяет установить более стройную систему охраны информации о работнике, повысить уровень информированности работников о соответствующей деятельности работодателя, способствует увеличению степени ответственности тех работников, которые в силу своей трудовой функции участвуют в обработке персональных данных.