Вправе ли работодатель размещать информацию о работниках на своем сайте?

В современном мире, где важной составляющей стало информационное пространство, практически каждая организация имеет свой сайт в Интернете, страницы в социальных сетях, на которых нередко размещается в том числе информация о сотрудниках организации.

Какой правовой режим распространяется на информацию о сотруднике, размещаемую на сайте организации? В каком порядке осуществляется уведомление Роскомнадзора о намерении обрабатывать персональные данные? Какие правила установлены для получения согласия работника на обработку персональных данных? Когда должна быть прекращена обработка персональных данных? Какие меры ответственности может повлечь нарушение законодательства об обработке персональных данных?

Правовой режим информации о работнике на интернет-сайте

Любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу, является персональными данными в соответствии со ст. 3 Федерального закона N 152-ФЗ. Следовательно, при размещении информации о работнике где-либо, в том числе на сайте организации, работодатель должен соблюдать законодательство о персональных данных.

По общим правилам, предусмотренным Федеральным законом N 152-ФЗ, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных либо без его согласия в случаях, прямо установленных законодательством.

Согласно нормам ТК РФ и Разъяснениям Роскомнадзора от 24.12.2012 обработка персональных данных работника не требует получения работодателем соответствующего согласия указанных лиц при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством РФ. В связи с этим необходимо проанализировать цели обработки персональных данных, предусмотренные в ТК РФ. Так, исходя из ст. 86 ТК РФ обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Какие-либо цели, связанные с размещением на сайте информации о работнике, в данном перечне отсутствуют.

Примечание. При размещении информации на сайте необходимо руководствоваться общими правилами обработки персональных данных, установленными Федеральным законом N 152-ФЗ: размещение какой-либо информации работодателем о работнике на интернет-сайте возможно только с согласия работника.

Кроме того, требуется уведомить Роскомнадзор о намерении осуществлять обработку персональных данных в порядке, предусмотренном ст. 22 Федерального закона N 152-ФЗ, и принять меры, направленные на обеспечение безопасности персональных данных: назначить ответственного за организацию обработки персональных данных, издать документы, определяющие политику оператора в отношении обработки персональных данных, и др.

Обратите внимание! Не требуется согласие на обработку персональных данных в форме размещения их на сайте только в случае публикации информации о служащих органов государственной власти и местного самоуправления на официальных сайтах соответствующих органов согласно нормам Федеральных законов от 09.02.2009 N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" и от 25.12.2008 N 273-ФЗ "О противодействии коррупции".

Уведомление Роскомнадзора об обработке персональных данных

Оператор, которым является работодатель, до начала обработки персональных данных, обработка которых не предусмотрена законодательством, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Отметим, что не требуется уведомлять Роскомнадзор в случае, например, если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных. То есть если требуется разместить на сайте организации Ф.И.О. сотрудников с телефонами, то нужно только согласие работников на обработку персональных данных, это не влечет обязанность работодателя по уведомлению Роскомнадзора.

Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

Уведомление должно содержать следующие сведения:

- наименование (фамилия, имя, отчество), адрес оператора;

- цель обработки персональных данных;

- категории персональных данных;

- категории субъектов, персональные данные которых обрабатываются;

- правовое основание обработки персональных данных;

- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

- описание мер по обеспечению безопасности персональных данных;

- фамилия, имя, отчество лица, ответственного за организацию обработки персональных данных, и номер его контактного телефона, почтовый адрес и адрес электронной почты;

- дата начала обработки персональных данных;

- срок или условие прекращения обработки персональных данных;

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит указанные сведения, а также сведения о дате направления уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

К сведению. Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения утверждены Приказом Роскомнадзора от 30.05.2017 N 94.

Оформление согласия работника на обработку персональных данных

Согласие на обработку персональных данных должно быть оформлено в точном соответствии с требованиями ст. 9 Федерального закона N 152-ФЗ. Согласие на обработку персональных данных должно быть конкретным, информативным и сознательным.

Примечание. По общему правилу, изложенному в ст. 88 ТК РФ, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в случаях, установленных ТК РФ и иными федеральными законами.

Согласие на обработку персональных данных должно быть подготовлено в письменной форме и должно содержать:

- фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование и адрес работодателя;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие работника (в том числе должны быть перечислены категории сведений о работнике, размещаемые на сайте, например фотографии, сведения об образовании, семейном положении);

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных (обязательно указать размещение персональных данных в Интернете);

- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

- подпись субъекта персональных данных (может быть электронная подпись).

Согласие на обработку персональных данных может быть как оформлено в виде отдельного документа, так и предусмотрено в условиях трудового договора или в дополнительном соглашении к трудовому договору.

Окончание обработки персональных данных

Размещение персональных данных работника на сайте возможно только в течение срока, указанного работником в согласии на обработку персональных данных.

Кроме того, работник вправе в любой момент отозвать согласие на обработку персональных данных.

Поскольку, как правило, согласие на обработку персональных данных дается гражданином как работником в целях, связанных с осуществлением трудовой деятельности, при прекращении трудовых отношений должна быть прекращена обработка персональных данных работника.

Согласно позиции Минтруда России, изложенной в Письме от 08.10.2018 N 14-2/В-803, опубликование на официальном сайте работодателя персональных данных работников, а также информации о причинах их увольнения (например, утрата доверия, совершение хищения, неоднократное неисполнение трудовых обязанностей) не будет соответствовать нормам трудового законодательства, а следовательно, возможна только на основании специально полученного согласия гражданина.

Ответственность за нарушение правил обработки персональных данных

Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Статьей 13.11 КоАП РФ предусмотрена административная ответственность за нарушение законодательства РФ в области персональных данных.

Например, обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа:

- на граждан - в размере от 3 000 до 5 000 руб.;

- на должностных лиц - в размере от 10 000 до 20 000 руб.;

- на юридических лиц - в размере от 15 000 до 75 000 руб.

Иные нарушения влекут ответственность в соответствии со специальными частями ст. 13.11 КоАП РФ.

Подробнее в консультантПлюс: Статья: Вправе ли работодатель размещать информацию о работниках на своем сайте? (Галочкина А.Б.) ("Актуальные вопросы бухгалтерского учета и налогообложения", 2018, N 12)

Заказать КонсультантПлюс Линия консультаций
Заказ документов и ответы на вопросы