Вопрос: На корпоративном портале организации, к которому имеют доступ как работники, так и клиенты организации, указаны Ф.И.О., должности и внутренние номера телефонов работников в организации. Работодатель решил указать на портале еще и личные номера телефонов работников. Могут ли работодателя привлечь к административной ответственности за указание личных номеров телефонов работников на корпоративном портале, если письменного согласия от работников конкретно для этого действия не было получено?
Ответ: Размещение личного номера телефона на корпоративном портале организации, к которому имеют доступ как работники, так и клиенты организации, возможно только с письменного согласия работника. В случае размещения указанных данных без согласия работника работодатель может быть привлечен к административной ответственности. Также работник может потребовать компенсации морального вреда.
Обоснование: Отношения, связанные с обработкой персональных данных, осуществляемой, в частности, юридическими и физическими лицами с использованием средств автоматизации, а также в информационно-телекоммуникационных сетях или без использования таких средств, регулируются Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ).
Согласно ст. 3 Закона N 152-ФЗ персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
Распространение персональных данных, согласно п. 5 ст. 3 Закона N 152-ФЗ, представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
В соответствии с положениями ст. 88 Трудового кодекса РФ при передаче персональных данных работника работодатель не должен сообщать персональные данные работника третьей стороне без его письменного согласия.
Таким образом, разглашение персональных данных работника допустимо только в случае письменного согласия работника.
В силу п. 7 ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать общее требование: защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами.
В ст. 8 Закона N 152-ФЗ установлено, что в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Полагаем, что корпоративный портал организации, к которому имеют доступ как работники, так и клиенты организации, является общедоступным источником персональных данных, следовательно, размещение на нем личного номера телефона работника возможно только с письменного согласия на это самого работника, в противном случае работник имеет право потребовать исключить его личный номер телефона с корпоративного портала организации.
В силу ч. 2 ст. 13.11 Кодекса РФ об административных правонарушениях обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа: на граждан в размере от 3 000 до 5 000 руб.; на должностных лиц - от 10 000 до 20 000 руб.; на юридических лиц - от 15 000 до 75 000 руб.
Кроме того, причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. 24 Закона N 152-ФЗ).
Исходя из приведенного выше считаем, что в данном случае имеет место нарушение законодательства, так как номер мобильного телефона является информацией, относящейся к персональным данным работника. Следует иметь в виду, что работодатель может быть привлечен к административной ответственности ввиду разглашения охраняемой законом информации.
Таким образом, считаем, что размещение личного номера телефона на корпоративном портале организации, к которому имеют доступ как работники, так и клиенты организации, возможно только с письменного согласия работника. В случае размещения указанных данных без согласия работника работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ. Также работник может потребовать компенсации морального вреда.
Е.В. Дмитриенко
ООО "КОМПЬЮТЕР ИНЖИНИРИНГ"
Региональный информационный центр
14.03.2018