Родитель пожаловался на учителя в связи с недопустимыми методами воспитания, требует наказать работника и выслать ему копию приказа о наложении дисциплинарного взыскания. Работник действительно виноват, ему объявили выговор. Имеет ли право директор отправлять родителю ребенка копию приказа о дисциплинарном взыскании, не будет ли это нарушением законодательства о персональных данных работника?
А. Максимов, г. Северодвинск
Определения и термины
Защита персональных данных происходит, в частности, на основании Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 03.07.2016) «О персональных данных» (далее – Закон о персональных данных») и ТК РФ.
Согласно ст. 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
То есть в данной ситуации данные, которые указаны в приказе о наложении дисциплинарного взыскания, являются персональными данными работника.
Эта же ст. 3 разъясняет понятие оператора персональных данных, которым является работодатель. Так, Закон указывает, что оператором персональных данных может являться государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В свою очередь, обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Закона о персональных данных).
Общие требования
Закон о персональных данных прямо говорит о том, что обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (ст. 5 Закона о персональных данных)
На основании ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования.
-
Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
-
При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
-
Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
-
Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством РФ в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами.
-
Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.
-
При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
-
Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами.
-
Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
-
Работники не должны отказываться от своих прав на сохранение и защиту тайны.
-
Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Более того, на основании ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Это правило также дублирует и ст. 88 ТК РФ, где указаны требования к работодателю при осуществлении передачи персональных данных работника третьим лицам. К таким требованиям, в частности, относятся:
–запрет сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим ТК РФ или иными федеральными законами;
–запрет сообщать персональные данные работника в коммерческих целях без его письменного согласия;
–обязанность предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
–обязанность осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
–возможность разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
–запрет запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
–обязанность передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Дача согласия
Как видно из приведенных выше положений, работодатель не вправе предоставить приказ о привлечении к дисциплинарной ответственности работника родителю без согласия самого работника.
Статья 9 Закона о персональных данных регламентирует порядок дачи такого согласия субъектом персональных данных (работником). Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
В данной ситуации законодатель не обязывает работодателя получить письменное согласие работника на передачу его персональных данных, однако во избежание возможных споров с работником в дальнейшем работодателю целесообразно получить именно письменное согласие работника на такую передачу.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
– наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
–информацию о цели обработки персональных данных;
–перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
–наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
–перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
–срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
– подпись субъекта персональных данных.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Работодателю всегда необходимо помнить, что существует ответственность за нарушение трудового законодательства (ст. 5.27 КоАП РФ) и законодательства о персональных данных (ст. 24 Закона о персональных данных), поэтому в целях минимизации рисков привлечения работодателя к ответственности необходимо обеспечить доказательную базу, подтверждающую факт добросовестности работодателя.