Каждый работодатель сталкивается с получением, обработкой, хранением, использованием и передачей персональных данных сотрудников. В компаниях разрабатываются локальные акты, с которыми обязательно знакомят всех работников под подпись, назначаются ответственные лица. Но что делать, если произошла утечка информации, содержащейся, например, в заявлении сотрудника? В статье рассмотрим порядок действий организации в случае разглашения каких-либо сведений о работнике, которые были адресованы только руководителю или иному уполномоченному лицу, а не всему коллективу. Ответим на вопрос, является ли информация из объяснительной записки сотрудника его персональными данными.
Поводом для написания статьи стал вопрос от читателя, написавшего в редакцию.
Вопрос в тему
Написал генеральному директору объяснительную записку. На следующий день все в офисе знали и обсуждали ее подробности. Разве такого рода записки не являются конфиденциальной информацией?
Представим, что сотрудник опоздал на работу. После появления на рабочем месте он написал и передал своему руководителю (генеральному директору) объяснительную записку, в которой изложил причины отсутствия. На следующий день все коллеги были в курсе личных проблем сотрудника. При этом сам работник никого не посвящал в подробности. Стало понятно, что начальник рассказал всему отделу о содержании объяснительной.
Возможны и иные схожие ситуации, например: кадровик ознакомился с трудовой книжкой сотрудника и рассказал по секрету парочке коллег из других подразделений о предыдущих местах работы и причинах увольнения с них.
Давайте разберемся, можно ли привлечь к какой-либо ответственности руководителя / сотрудника отдела кадров за разглашение личной информации работника. Выясним, все ли кадровые документы содержат персональные данные. Проведем анализ: кто и в каком размере может понести наказание за утечку информации о зарплате сотрудников. В статье рассмотрим нестандартные ситуации, возникающие на практике.
Персональные данные или нет?
Персональные данные – это любая информация, относящаяся к определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон о персональных данных). К ним относятся:
- фамилия, имя, отчество;
- пол;
- возраст;
- место жительства;
- изображение сотрудника (фотография и видеозапись), которое позволяет установить личность;
- образование, квалификация, профессиональная подготовка;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии и т.д.);
- деловые и иные личные качества;
- медицинские сведения;
- номер телефона;
- прочие сведения, которые могут идентифицировать работника.
Сведения о заработной плате сотрудника также являются информацией, содержащей его персональные данные (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681 «О передаче работодателем третьим лицам сведений о заработной плате работников»).
Таким образом, любой документ, в котором содержится какая-либо информация о конкретном работнике, будет являться носителем его персональных данных. Ведь в заявлении о переводе сотрудник может указать сведения о своем заболевании. Или в объяснительной записке работник сошлется на расторжение брака. Не каждый захочет, чтобы личная жизнь стала достоянием общественности.
Работодатель не вправе сообщать персональные данные сотрудника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами (абз. 2 ст. 88 ТК РФ).
Кого можно привлечь к ответственности
Чтобы привлечь к ответственности сотрудника за разглашение чужих персональных данных, нужно доказать следующее:
1) разглашенные сведения относятся к персональным данным другого работника;
2) эти сведения стали известны нарушителю в связи с исполнением им трудовых обязанностей;
3) сотрудник обязывался не разглашать такую информацию (п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации»).
Таким образом, привлечь к ответственности за разглашение персональных данных можно далеко не каждого.
ТК РФ позволяет работодателю уволить подчиненного, если он допустит утечку персональных данных своих коллег (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ). Приведем несколько примеров из судебной практики и проанализируем, какие обстоятельства влияли на разрешение конкретных дел.
Истец обратился в суд и просил признать увольнение по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ незаконным. Считал, что не допускал нарушений, за которые с ним расторгли трудовой договор. При трудоустройстве истец был ознакомлен с положением о защите персональных данных работников, с политикой информационной безопасности ответчика. Он также обязался не разглашать информацию, составляющую коммерческую тайну (секрет производства), служебную информацию работодателя и принял на себя обязательство о неразглашении персональных данных. В ходе рассмотрения дела выяснилось, что истец со своей рабочей электронной почты направил на внешний электронный адрес третьего лица некоторые документы. Например, заключение о выплате премии, положение о премировании, о выплате премии работнику после его увольнения, положение о социальном обеспечении работников. Таким образом, установлено и подтверждено документами, что истец с рабочего стационарного компьютера, принадлежащего ответчику, посредством корпоративной почты систематически направлял на внешний электронный адрес служебные документы, локальные нормативные документы, относящиеся к категории «служебная (конфиденциальная) информация», и персональные данные сотрудников. Суд оставил в силе приказ об увольнении (апелляционное определение Московского городского суда от 16.06.2016 по делу № 33-23105/2016).
