Вопрос: Обязано ли предприятие, чей штат состоит из одного человека - директора, который к тому же является и единственным участником (учредителем) общества, - иметь положение о порядке хранения и использования персональных данных работников или это только его право? Будет ли отсутствие такого положения в указанной ситуации являться нарушением трудового законодательства и, соответственно, быть основанием для привлечения работодателя к административной ответственности?
Ответ: Предприятие обязано иметь локальный акт, устанавливающий порядок хранения и использования персональных данных работников, даже если штат состоит из одного человека - директора, который к тому же является и единственным участником (учредителем) общества. Отсутствие вышеуказанного разработанного на предприятии локального акта является нарушением требований Трудового кодекса РФ и образует состав административного правонарушения, предусмотренного ч. 1 ст. 5.27 Кодекса РФ об административных правонарушениях.
Обоснование: В соответствии с п. п. 1, 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); а обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов. Норма не предполагает альтернативы в наличии или отсутствии локального акта у работодателя, регулирующего порядок хранения и использования персональных данных работников, в том числе и в случае, когда штат общества состоит всего лишь из одного работника (например, директора). Наличие такого порядка у каждого работодателя - императивное требование закона. Альтернатива возможна в порядке принятия данного акта в зависимости от того, имеется ли на предприятии первичная профсоюзная организация или нет, требуется ли согласование данного локального акта с выборным органом первичной профсоюзной организации или нет в порядке ст. 372 ТК РФ.
Отсутствие разработанного на предприятии порядка хранения и использования персональных данных работников расценивается как нарушение требований ст. 87 ТК РФ и, соответственно, образует состав административного правонарушения, предусмотренного ст. 5.27 КоАП РФ. Практика реального наказания работодателей за указанное нарушение уже широко применяется (см., например, Решение Верховного суда Республики Карелия от 11.04.2014 по делу N 21-153/2014).
Работодатель обязан утвердить те или иные локальные акты, требуемые к наличию ТК РФ, независимо от количества штата работников и их качественных характеристик. Предприятие, состоящее из одного лишь директора, являющегося и учредителем, не может быть освобождено от выполнения требования ТК РФ о наличии локального акта, который оно обязано иметь в силу положений ТК РФ (см. Апелляционное определение Московского городского суда от 06.05.2014 по делу N 33-15735/14).
Н.В.Пластинина
Заместитель начальника
Службы юридического
сопровождения филиала
ОАО "РОСТ БАНК"
05.06.2015
