Защита персональных данных работника: некоторые сложные моменты

Prof-Post Кадровый учет

Известно, что есть соответствующий Федеральный закон, обязывающий работодателя и всех, кто обладает персональными данными работника, содержать их в тайне. За разглашение персональных данных предусмотрена трудовая, административная и уголовная ответственности.

Однако для более полного понимания, в каких случаях применяются все виды ответственности, необходимо рассмотреть два важных вопроса для специалистов по управлению персоналом.

Первый – что именно относится к разглашению персональных данных.

Второй – как определить границы необходимых персональных данных, которые должна затребовать служба управления персоналом с работника. Ведь часто возникают ситуации, когда затребованы либо излишние персональные данные, либо их недостаточно.

Итак, вопрос первый. Разглашение персональных данных – это трансляция неограниченному кругу лиц в письменной или устной формах любой информации о субъекте (носителе) персональных данных. В организации носитель персональных данных – это работник. При этом специалист по управлению персоналом должен помнить, что нельзя транслировать никакую информацию в принципе, даже из лучших побуждений. Например, в одной организации специалист по управлению персоналом узнал, что один из работников взял под опеку ребенка. Кадровик был под приятным впечатлением от этого факта и решил организовать работнику сюрприз. В тайне сообщил работникам отдела эту информацию, и затем отдел приготовил поздравление для родителя-опекуна. Надо ли говорить, что это «поздравление» не понравилось опекуну, который хотел оставить факт опекунства в тайне. С точки зрения закона в данной ситуации объективно существует нарушение законодательства о защите персональных данных. Хотя мотивация разглашателя была самой благовидной. Вывод один: всю информацию, которой владеет специалист по управлению персоналом, необходимо держать в тайне. В приведенном примере «водораздел» между незаконным разглашением персональных данных и сообщением информации о работнике состоит в том, что носитель персональных данных не раскрыл сам неопределенному кругу лиц информацию о себе.

Так, если бы в приведенном примере работник сам объявил во всеуслышание или неограниченному кругу лиц о том, что он стал опекуном, а потом отдел и специалист по управлению персоналом стали бы обсуждать событие и готовить поздравление, то это не квалифицировалось бы как разглашение персональных данных. Таким образом, все, что работник/носитель персональных данных сам о себе разглашает, давая повод для обсуждений и дальнейшей передачи информации, – это не разглашение и не является незаконным действием. Если же специалист по управлению персоналом сам инициирует разглашение какой-либо информации, независимо от цели этого действия, то тогда мы сталкиваемся с незаконным деянием или правонарушением.

Чтобы избежать «скользких» вопросов, связанных с разглашением персональных данных, рекомендуем не обсуждать даже безлично сложные ситуации по работе, связанные с сотрудниками. Бывает, что один специалист пытается попросить совета у другого о работнике и пытается обезличено описать ситуацию. К сожалению, часто за обезличенным образом собеседники все равно разгадывают настоящую персону, о которой речь, что опять-таки может квалифицироваться как разглашение персональных данных.

Автор данной статьи предлагает такой вариант. Если вы хотите обсудить ситуацию по работе, где задействован конкретный сотрудник, то описывать ее надо, конечно, обезличено, и искать совета по ситуации надо не в кругу своих сотрудников, а на профессиональных сайтах и форумах. Там никто и никогда не догадается об истинной персоне, являющейся объектом обсуждения сложной ситуации.

Профессиональные сайты для специалистов по управлению персоналом есть в каждом регионе. Например, в Красноярском крае существует сообщество профессионалов в области управления персоналом в вайбере, где обсуждаются все актуальные вопросы, а также участники выносят на обсуждение проблемные ситуации. Также есть соответствующий телеграм-канал.

Теперь о второй важной проблеме в области персональных данных, с которой сталкиваются специалисты по управлению персоналом. В практике до сих пор нет точного понимания, какие персональные данные, в каком количестве можно брать у носителя для того, чтобы эта информация была не избыточная, но в то же время исчерпывающая.

Самый простой совет, который вытекает из надзорной и судебной практики по данному вопросу таков: можно брать любую информацию у носителя персональных данных, но только лишь в том случае, если вы при необходимости сможете объяснить, зачем она нужна. У информации о носителе должна быть цель. И в случае возникновения сложного вопроса она должна быть логично и компетентно сформулирована.

Например, в одной торговой организации, которая продает одежду, брали с покупателей согласие на использование и обработку персональных данных, в качестве которых просили указывать номер телефона. Один из покупателей обратился в суд, считая это незаконным. Однако в ходе судебных прений представители магазина объяснили, что номер телефона нужен для того, чтобы в случае возврата иметь связь с покупателем для полноценного решения проблемы. И суд счел это разумным. То есть «водораздел» между избыточными и необходимыми данными заключается в одном: умении объяснить цели. Брать информацию у носителя персональных данных, которая не имеет конкретной цели, нельзя.

Таким образом в вопросах оформления и использования персональных данных существует множество нюансов, которые необходимо знать специалисту по управлению персоналом, чтобы не попасть под все виды ответственности, предусмотренные законодательством, и не создать конфликтные ситуации в коллективе.