Что учесть УК про работе с персональным данными работников

Часто управляющие организации так переживают за работу с персональными данными собственников, что забывают о защите персональных данных своих же работников. Зато Роскомнадзор не забывает и находит у управляющих организаций нарушения.

Что такое персональные данные (ПДн)

Закон относит к персональным данным (ПДн) большой пласт информации о гражданине и может включать любые события его жизни, которые позволяют идентифицировать человека. Персональная информация составляет открытый перечень:

• имя (по закону включает собственно имя, фамилию и отчество — если оно есть);
• место рождения;
• возраст;
• адрес и номер телефона;
• социальное и семейное положение;
• образование;
• место работы и должность;
• данные СНИЛС и медицинской страховки;
• номер водительского удостоверения;
• цифровые данные — адрес электронной почты, аккаунт;
• иная информация, которая позволяет опознать личность.

Контроль за соблюдением требований о защите персональных данных возложен на Роскомнадзор.

Ошибки работодателя при обработке ПДн

Нарушение правил о защите персональных данных чревато привлечением к административной ответственности — от 5 тыс. до 18 млн. руб. Введение столь жёсткой ответственности стимулирует компании придерживаться правил сбора, хранения и обработки личных данных клиентов.

Иногда работодатели забывают, что Закон о защите персональных данных распространяется не только на клиентов, но и на работников компании. Управляющие компании допускают ошибки при обработке ПДн:

• Не определяют категории персональных данных работников, которые обрабатывает: сведения о состоянии здоровья (содержатся в листках нетрудоспособности); сведения о доходах (содержатся в штатном расписании, трудовом договоре, приказе о приеме на работу); дата регистрации по месту жительства; номер расчётного счёта (указывается в заявлении работника о перечислении заработной платы) и иные.
• Не указывают категории субъектов ПДН, например, сведения о близких родственниках работника, которые указаны в личной карточке работника; собственников и нанимателей жилых и нежилых помещений.
• Неверно указывают информацию о лице, ответственном за организацию обработки ПДн и контактную информация о нем.
• Не описывают действия с данными (например — передача и уничтожение).
• Не обеспечивают неограниченный доступ к документу, который определяет политику компании в отношении обработки персональных данных.
• Своевременно не предоставляют информацию о месте нахождения базы данных и т.д.

Показательный случай произошел в Воронежской области.

Управление Роскомнадзора по Воронежской области проверило деятельность управляющей компании и обнаружило множество нарушений при обработке персональных данных работников.
Нарушения касались как указания сведений о компании, которые в уведомлении об обработке персональных данных не совпадали с информацией из ЕГРЮЛ, так и несоблюдения требований закона в части правил обработки конфиденциальной информации о других лицах — жильцах обслуживаемых многоквартирных домов и работниках самой компании.
Роскомнадзор потребовал от управляющей компании устранить нарушения правил защиты персональных сведений и указал перечень мероприятий, которые управляющая компания должна осуществить, чтобы обеспечить сохранность данных.
Не согласившись с претензиями Роскомнадзора, УК обратилась в Арбитражный суд Воронежской области с требованием признать предписание недействительным (дело №А14 – 6779/2019).

Выводы суда по делу

Чтобы признать требование любого контролирующего органа недействительными, суд должен установить, что действием или бездействием госоргана одновременно нарушены:
- права заявителя;
- закон. 
Нарушение своих прав в суд доказывает заявитель, а соответствие своих действий закону доказывает госорган.

Арбитражный суд установил, что:

• уведомление управляющей компании об обработке персональных данных содержит не всю необходимую информацию;
• заявитель не обеспечил безопасность ПДн, когда заключал договор со сторонней организацией на предоставление диспетчерских и информационных услуг;
• заявитель не обеспечил неограниченный доступ к документу, определяющему политику УК в отношении обработки персональных данных;
• заявитель не указал категории субъектов персональных данных и не указал правовые основания обработки ПДн;
• не выполнил обязанность уведомить уполномоченный орган в случае прекращения обработки ПДн или изменения сведений о компании и допустил иные нарушения закона, которые отмечены в предписании Роскомнадзора.

Суд пришел к выводу, что оспариваемое предписание выдано в рамках полномочий, которые предоставлены Управлению Роскомнадзора по Воронежской области, соответствует требованиям закона и не нарушает прав и законных интересов заявителя.

В апелляционной жалобе УК ссылалась на отсутствие у неё обязанности уведомлять Роскомнадзор об обработке персональных данных работников. Однако суд счёл этот довод несостоятельным и отметил, что в соответствии со ст. 86 ТК РФ работодатель и его представители в целях обеспечения прав и свобод человека и гражданина, обязаны соблюдать ряд требований:

1. Обрабатывать ПДн работников исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
2. При определении объёма и содержания обрабатываемых персональных данных работника руководствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами.
3. Все персональные данные работника получать только у него самого. При необходимости получить ПДн у третьей стороны обязан уведомить работника заранее и получить от него письменное согласие.
4. Не получать и не обрабатывать сведения о работнике, которые относятся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям ПДн.
5. Не получать и не обрабатывать данные работника о его членстве в общественных объединениях или его профсоюзной деятельности.
6. Принимая решение, которое касается интересов работника, работодатель не имеет права основываться на данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
7. За счёт собственных средств защищать ПДн работника от неправомерного их использования или утраты.
8. Ознакомить работников и их представителей под подпись с документами работодателя, которые определяют порядок обработки ПДн работников.

Суд подчеркнул, что трудовое законодательство не устанавливает каких-либо особенностей в отношении обработки персональных данных работников, включая работников управляющей компании.

Суд признал обоснованным предписание Роскомнадзора и оставил решение первой инстанции без изменения.
Арбитражный суд Центрального округа, рассмотрев дело в кассационном порядке, полностью согласился с выводами нижестоящих судов.

Управляющим организациям не стоит забывать, что защита персональных данных распространяется не только на потребителей, но и на самих работников организации, при этом Роскомнадзор при проверках уделяет большое внимание соблюдению законодательства именно в отношении персонала управляющей организации.