Персональные данные в трудовых отношениях

С 30 июня 2021 г. вступил в силу  Закон № 114-З*, которым внесены изменения в Трудовой кодекс Республики Беларусь и установлена дисциплинарная ответственность за противоправные действия с персональными данными.

* Закон Республики Беларусь от 28.05.2021 № 114-З «Об изменении законов по вопросам трудовых отношений» (по тексту — Закон № 114-З)

В частности, ст. 47 Трудового кодекса дополнена таким новым основанием увольнения, как нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных.

Определение понятия «персональные данные», а также основополагающие принципы работы с ними установлены в  Законе № 99-З*, который вступает в силу с 15 ноября 2021 г. Так, согласно ст. 1 Закона № 99-З персональные данные — это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

* Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (по тексту — Закон № 99-З)

Перечень персональных данных

Перечень информации, которая может быть отнесена к персональной, является открытым. В Законе № 99-З он четко не определен. Поэтому решать, относятся ли те или иные сведения к персональным данным конкретного лица, необходимо индивидуально.

Наниматели (юридические лица Республики Беларусь, индивидуальные предприниматели, самостоятельно или совместно с иными лицами организующие и (или) осуществляющие обработку персональных данных) обрабатывают данные как своих работников, так и других лиц. Когда их фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование становятся персональными, зависит от ситуации.

Примерный перечень информации, которая может быть отнесена к персональным данным, представлен в таблице. Данный перечень является открытым, в некоторых случаях — оценочным (т.е. применимым в зависимости от ситуации).

Таблица

Примерный перечень информации, которая может быть отнесена к персональным данным

Работа с персональными данными

По общему правилу, установленному ст. 6 и 8Закона № 99-З, необходим предварительный запрос согласия субъекта персональных данных на обработку его персональных данных. При этом Закон № 99-З содержит и исключения из данного правила.

Справочно: субъект персональных данных — физическое лицо, в т.ч. работник, в отношении которого осуществляется любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (ст. 1 Закона № 99-З).

Можно выделить как минимум следующие цели использования нанимателем персональных данных работников:

• при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
• для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в т.ч. профессионального пенсионного страхования;
• в целях назначения и выплаты пенсий, пособий и др.

Кроме того, после заключения трудового договора информация о работнике может использоваться нанимателем для надлежащего исполнения его обязательств, вытекающих не только из трудового, но и из других отраслей законодательства (например, для удержания из зарплаты денежных средств в рамках исполнительного производства).

Согласно ст. 17 Закона № 99-З наниматель обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от:

• несанкционированного или случайного доступа к ним;
• изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных;
• иных неправомерных действий в отношении персональных данных.

Обязательными мерами по обеспечению защиты персональных данных, в частности, являются:

• назначение нанимателем структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
• издание нанимателем документов, определяющих политику в отношении обработки персональных данных;
• ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в т.ч. с требованиями по защите персональных данных, документами, определяющими политику нанимателя в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
• установление порядка доступа к персональным данным, в т.ч. обрабатываемым в информационном ресурсе (системе).

Обязанности работников в области защиты персональных данных должны быть предусмотрены условиями трудового договора и (или) должностной инструкцией.

Предлагаем примерный алгоритм действий нанимателя по организации работы с персональными данными.

Примерный алгоритм организации работы с персональными данными

Шаг 1. Установление перечня персональных данных, которые обрабатываются в организации.

Шаг 2. Установление лица (структурного подразделения), ответственного за осуществление внутреннего контроля за обработкой персональных данных, а также перечня лиц, имеющих допуск к обработке персональных данных.

Шаг 3. Внесение дополнений в трудовые договоры и должностные инструкции лиц, допущенных к обработке персональных данных.

Шаг 4. Разработка и утверждение локальных правовых актов и иных документов по защите персональных данных.

Шаг 5. Обеспечение условий для физической защиты персональных данных (место хранения, допуск и т.п.) и их обработки.

Шаг 5. Обучение работников, имеющих допуск к обработке персональных данных, согласно законодательству, в т.ч. ознакомление их с нормативными правовыми и локальными правовыми актами в сфере защиты персональных данных.