Строгость российских законов компенсируется не столько «необязательностью их применения», сколько неоднозначностью толкования. Споры, связанные с обработкой персональных данных компаний – лишнее тому подтверждение.
Суть проблемы
Компания в целях кадрового и бухгалтерского обеспечения собирала и обрабатывала персональные данные своих сотрудников, вела базу кандидатов на вакантные должности при подборе персонала. Также компания при оформлении заказов на сайте интернет-магазина собирала и обрабатывала указанные клиентами персональные данные, которые были необходимы для доставки заказа.
Роскомнадзор провел проверку и выявил, что при обработке персональных данных компания использовала автоматизированные способы обработки данных, в том числе 1С. Стало быть, компания нарушила законодательство, так как не уведомила Роскомнадзор о том, что она является оператором по обработке персональных данных.
Позиция Роскомнадзора
Обработка персональных данных хотя и проводится в рамках трудового законодательства, но велась с использованием информационных систем. Это не подпадает под исключения предусмотренные частью 2 статьи 22 Закона № 152-ФЗ о персональных данных. Так же, с использованием автоматизированных систем обрабатывались персональные данные клиентов, которые оформили заказы на сайте.
Если компания собирала и обрабатывала персональные данные автоматизированными способами, значит, она обязана была уведомить Роскомнадзор о том, что она является оператором. Согласно части 1 статьи 22 Закона №152-ФЗ оператор до начала обработки персональных данных обязан уведомить об этом Роскомнадзор.
Также Роскомнадзор указал на обработку персональных данных, связанную с подбором персонала путем размещения информации о вакансиях на специализированных сайтах в сети Интернет. Подобранные резюме кандидатов на вакантный должности хранились в электронном виде на рабочих компьютерах в отделе подбора персонала.
Позиция компании
Компания собирала и обрабатывала персональные данные для кадрового учета и бухгалтерского обеспечения с целью выполнения трудового законодательства. В частности, для правильного расчета заработной платы и своевременной ее выплаты.
Компания обрабатывала персональные данные как не автоматизированным способом, включающим в себя хранение трудовых книжек, личных дел на работников, хранение договоров заключенных с физическими лицами, так и с использованием: 1С «Зарплата и управление персоналом» для кадровых целей; 1С «Предприятия (Магазины)», БСУВ «Биометрическая система учета времени».
Компания вела базу «кадровый резерв» для отбора кандидатов и предоставления им рабочих мест. При этом компания получала письменного согласие кандидатов на обработку персональных данных и уничтожала данные, если прием на работу не состоялся.
Что же касается сбора персональных данных клиентов на сайте интернет-магазина, эти данные использовались исключительно для заключения договора и оказания клиенту услуг. Вне зависимости от того использовала компания автоматизированные системы или нет, в соответствии с частью 2 статьи 33 Закона № 152-ФЗ, она не обязана уведомлять Роскомнадзор.
Читайте также «Продажу персональных данных узаконят»
Суд решил
Постановление Четвертого арбитражного апелляционного суда от 7 февраля 2018 г. № 04АП-127/2018 по делу № А19-17054/2017
Согласно части 2 статьи 22 Закона №152-ФЗ оператор вправе без уведомления Роскомнадзора обрабатывать персональные данные:
- необходимые для соблюдения трудового законодательства;
- полученные в связи с заключением договора, стороной которого является владелец персональных данных, если эти данные не распространяются, не предоставляются третьим лицам без его согласия и используются исключительно для исполнения договора;
- сделанные владельцем персональных данных общедоступными;
- включающие в себя только фамилии, имена и отчества владельца персональных данных;
- необходимые для однократного пропуска на территорию;
- включенные в информационные системы персональных данных государственных информационных систем, а также созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемые без использования средств автоматизации.
Обработка персональных данных работников не требует согласия данных лиц и уведомления контролирующего органа, если персональные данные обрабатываются в целях предусмотренных трудовым законодательством, коллективным договором, а также локальными актами работодателя.
В соответствии с Трудовым кодексом организация обязана выплачивать работникам заработную плату в полном размере и в установленные сроки. В соответствии со статьей 91 ТК РФ организация обязана обязан вести учет времени, фактически отработанного каждым работником.
Таким образом, системы 1С «Зарплата и управление персоналом» и БСУВ «Биометрическая система учета времени» использовались в рамках трудовых договоров заключенных с работниками. Это подпадает под исключение предусмотренное пунктом 1 части 2 статьи 22 Закона № 152-ФЗ, то есть обработка персональных данных осуществлялась в соответствии с законодательством.
О сборе персональных данных кандидатов на работу
Трудовой кодекс не регулирует правоотношения между кандидатом и будущим работником. Вместе с тем указанные правоотношения регулируются Федеральным законом от 19 апреля 1991 года № 1032-1 «О занятости населения в Российской Федерации».
Компания имеет право принимать на работу граждан, непосредственно обратившихся к нему, на равных основаниях с гражданами, имеющими направление органов службы занятости.
Компания вправе осуществлять обработку персональных данных кандидатов на вакантные должности, сохранять их резюме, формировать как бумажную, так и электронную базу соискателей «кадровый резерв», при наличии письменного согласия кандидатов на обработку персональных данных. В случае отказа в приеме на работу предоставленные кандидатом документы уничтожаются.
Об автоматизированной обработке данных, собранных на сайте интернет-магазина
При оформлении заказа на сайте интернет-магазина клиенты указывали персональные данные, необходимые для доставки заказа. Под каждой формой, где клиент указывает свои персональные данные, есть согласие на обработку персональных данных. Данные клиента использовались непосредственно для заключения договора и оказания услуг по этому договору.
Обработка информации по заказам осуществлялась в программе 1С «Предприятия (Магазины)».
Для обработки персональных данных, полученных в связи с заключением договора, вне зависимости от того, каким способом она осуществляется – без использования средств автоматизации или с использованием информационных систем в силу пункта 1, части 2, статьи 22 №152-ФЗ Роскомнадзор уведомлять не требуется.
Читайте также «Персональные данные: революционные поблажки для компаний»