Вопрос: Должен ли работодатель получать у работников отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, в случае если он хочет поместить информацию о них на доску почета в организации?
Ответ: В случае если работодатель хочет поместить информацию о работниках на доску почета в организации, то он должен от них получить отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Размещение информации о работниках на доске почета на основании типового согласия на обработку персональных данных, полученного при трудоустройстве работников, будет являться нарушением положений законодательства в области персональных данных. В таком случае работники будут вправе взыскать с работодателя компенсацию за раскрытие персональных данных без получения согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Обоснование: Отношения, связанные с обработкой персональных данных, осуществляемой, в частности, юридическими и физическими лицами с использованием средств автоматизации, а также в информационно-телекоммуникационных сетях, или без использования таких средств, регулируются Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ).
В соответствии со ст. 3 Закона N 152-ФЗ персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Как следует из положений ст. 8 Закона N 152-ФЗ, к персональным данным можно отнести фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, то есть ту информацию, которая позволяет идентифицировать конкретного человека. При этом приведенный перечень является открытым.
Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (Письмо Роскомнадзора от 20.01.2017 N 08АП-6054). Согласно Закону N 152-ФЗ фотографию работника можно отнести к персональным данным (ч. 1 ст. 11 Закона N 152-ФЗ).
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
Обработка персональных данных осуществляется с согласия субъекта персональных данных, при этом обработка персональных данных, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей допускается без согласия субъекта персональных данных (п. п. 1, 2 ч. 1 ст. 6 Закона N 152-ФЗ).
Распространение персональных данных представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п. 1.1 ст. 3 Закона N 152-ФЗ).
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения (ч. 1 ст. 10.1 Закона N 152-ФЗ).
При этом не стоит путать новое согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, с типовым согласием на обработку персональных данных, которое работодатели запрашивают у работников при трудоустройстве работников. Типовое согласие на использование персональных данных при заключении договора позволяет их собирать, накапливать, хранить, обезличивать и использовать в кадровой работе, но не дает права на передачу и распространение, поскольку, как уже было указано, для распространения персональных данных необходимо отдельное согласие субъекта.
Доска почета, размещенная в общедоступном месте, является общедоступным источником персональных данных, тем самым подразумевает раскрытие персональных данных неопределенному кругу лиц. Соответственно, размещение информации о работниках на доске почета на основании типового согласия на обработку персональных данных, полученного при трудоустройстве работников, будет являться нарушением положений законодательства в области персональных данных.
Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ). Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, за исключением случаев, предусмотренных ст. 17.13 Кодекса РФ об административных правонарушениях, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа в соответствии с ч. 2 ст. 13.11 КоАП РФ.
Повторное совершение указанного административного правонарушения влечет наложение административного штрафа в соответствии с ч. 2.1 ст. 13.11 КоАП РФ.
Срок давности привлечения к административной ответственности по ст. 13.11 КоАП РФ составляет 1 год со дня совершения административного правонарушения (ч. 1 ст. 4.5 КоАП РФ).
Причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. ст. 1099 - 1101 Гражданского кодекса РФ, ст. 24 Закона N 152-ФЗ).
Таким образом, в рассматриваемой ситуации работники вправе взыскать с работодателя компенсацию за раскрытие персональных данных без получения согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (ч. 9 ст. 9 Закона N 152-ФЗ). На данный момент Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18, начало действия которого - 1 сентября 2021 г.
Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ (ч. 9 ст. 10.1 Закона N 152-ФЗ). Например, он может разрешить опубликовать только его фото и Ф.И.О., а дату рождения запретить публиковать.
Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персональных данных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона N 152-ФЗ).
В соответствии с ч. 12 ст. 10.1 Закона N 152-ФЗ передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
В.И. Неклюдов
Государственная инспекция труда
в Нижегородской обл.
25.08.2021
