Часто управляющие организации так переживают за работу с персональными данными собственников, что забывают о защите персональных данных своих же работников. Зато Роскомнадзор не забывает и находит у управляющих организаций нарушения.
Что такое персональные данные (ПДн)
Закон относит к персональным данным (ПДн) большой пласт информации о гражданине и может включать любые события его жизни, которые позволяют идентифицировать человека. Персональная информация составляет открытый перечень:
- имя (по закону включает собственно имя, фамилию и отчество — если оно есть);
- место рождения;
- возраст;
- адрес и номер телефона;
- социальное и семейное положение;
- образование;
- место работы и должность;
- данные СНИЛС и медицинской страховки;
- номер водительского удостоверения;
- цифровые данные — адрес электронной почты, аккаунт;
- иная информация, которая позволяет опознать личность.
Контроль за соблюдением требований о защите персональных данных возложен на Роскомнадзор.
Ошибки работодателя при обработке ПДн
Нарушение правил о защите персональных данных чревато привлечением к административной ответственности — от 5 тыс. до 18 млн. руб. Введение столь жёсткой ответственности стимулирует компании придерживаться правил сбора, хранения и обработки личных данных клиентов.
Иногда работодатели забывают, что Закон о защите персональных данных распространяется не только на клиентов, но и на работников компании. Управляющие компании допускают ошибки при обработке ПДн:
- Не определяют категории персональных данных работников, которые обрабатывает: сведения о состоянии здоровья (содержатся в листках нетрудоспособности); сведения о доходах (содержатся в штатном расписании, трудовом договоре, приказе о приеме на работу); дата регистрации по месту жительства; номер расчётного счёта (указывается в заявлении работника о перечислении заработной платы) и иные.
- Не указывают категории субъектов ПДН, например, сведения о близких родственниках работника, которые указаны в личной карточке работника; собственников и нанимателей жилых и нежилых помещений.
- Неверно указывают информацию о лице, ответственном за организацию обработки ПДн и контактную информация о нем.
- Не описывают действия с данными (например — передача и уничтожение).
- Не обеспечивают неограниченный доступ к документу, который определяет политику компании в отношении обработки персональных данных.
- Своевременно не предоставляют информацию о месте нахождения базы данных и т.д.
Показательный случай произошел в Воронежской области.
Управление Роскомнадзора по Воронежской области проверило деятельность управляющей компании и обнаружило множество нарушений при обработке персональных данных работников.
Нарушения касались как указания сведений о компании, которые в уведомлении об обработке персональных данных не совпадали с информацией из ЕГРЮЛ, так и несоблюдения требований закона в части правил обработки конфиденциальной информации о других лицах — жильцах обслуживаемых многоквартирных домов и работниках самой компании.
Роскомнадзор потребовал от управляющей компании устранить нарушения правил защиты персональных сведений и указал перечень мероприятий, которые управляющая компания должна осуществить, чтобы обеспечить сохранность данных.
Не согласившись с претензиями Роскомнадзора, УК обратилась в Арбитражный суд Воронежской области с требованием признать предписание недействительным (дело №А14 – 6779/2019).
Выводы суда по делу
Чтобы признать требование любого контролирующего органа недействительными, суд должен установить, что действием или бездействием госоргана одновременно нарушены:
- права заявителя;
- закон.
Нарушение своих прав в суд доказывает заявитель, а соответствие своих действий закону доказывает госорган.
Арбитражный суд установил, что:
- уведомление управляющей компании об обработке персональных данных содержит не всю необходимую информацию;
- заявитель не обеспечил безопасность ПДн, когда заключал договор со сторонней организацией на предоставление диспетчерских и информационных услуг;
- заявитель не обеспечил неограниченный доступ к документу, определяющему политику УК в отношении обработки персональных данных;
- заявитель не указал категории субъектов персональных данных и не указал правовые основания обработки ПДн;
- не выполнил обязанность уведомить уполномоченный орган в случае прекращения обработки ПДн или изменения сведений о компании и допустил иные нарушения закона, которые отмечены в предписании Роскомнадзора.
Суд пришел к выводу, что оспариваемое предписание выдано в рамках полномочий, которые предоставлены Управлению Роскомнадзора по Воронежской области, соответствует требованиям закона и не нарушает прав и законных интересов заявителя.
В апелляционной жалобе УК ссылалась на отсутствие у неё обязанности уведомлять Роскомнадзор об обработке персональных данных работников. Однако суд счёл этот довод несостоятельным и отметил, что в соответствии со ст. 86 ТК РФ работодатель и его представители в целях обеспечения прав и свобод человека и гражданина, обязаны соблюдать ряд требований:
- Обрабатывать ПДн работников исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
- При определении объёма и содержания обрабатываемых персональных данных работника руководствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами.
- Все персональные данные работника получать только у него самого. При необходимости получить ПДн у третьей стороны обязан уведомить работника заранее и получить от него письменное согласие.
- Не получать и не обрабатывать сведения о работнике, которые относятся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям ПДн.
- Не получать и не обрабатывать данные работника о его членстве в общественных объединениях или его профсоюзной деятельности.
- Принимая решение, которое касается интересов работника, работодатель не имеет права основываться на данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
- За счёт собственных средств защищать ПДн работника от неправомерного их использования или утраты.
- Ознакомить работников и их представителей под подпись с документами работодателя, которые определяют порядок обработки ПДн работников.
Суд подчеркнул, что трудовое законодательство не устанавливает каких-либо особенностей в отношении обработки персональных данных работников, включая работников управляющей компании.
Суд признал обоснованным предписание Роскомнадзора и оставил решение первой инстанции без изменения.
Арбитражный суд Центрального округа, рассмотрев дело в кассационном порядке, полностью согласился с выводами нижестоящих судов.