Расскажем:

• какие правовые основания для обработки персональных данных работников исключены из Рекомендаций;
• какие риски несет организация (оператор) в случае разглашения персональных данных;
• необходимо ли согласие работников при заключении договора добровольного страхования медицинских расходов.

Национальным центром защиты персональных данных Республики Беларусь (далее – НЦЗПД) внесены изменения в Рекомендации об обработке персональных данных в связи с трудовой (служебной) деятельностью от 18.01.2022 (далее – Рекомендации).

Документ дополнен пп. 6 и 7 по вопросам, связанным с применением положений Закона № 99-З при реализации положений коллективных договоров и использовании видеонаблюдения.

Предлагаем рассмотреть конкретную ситуацию, связанную с изменением подхода к получению согласия при оказании социального пакета (добровольное медицинское страхование, абонемент в бассейн и т.п.), предусмотренного коллективным договором.

Нововведения с 09.06.2022

В Рекомендациях изменены случаи, когда нет правовых оснований для обработки персональных данных работников в целях оказания им социального пакета, предусмотренного коллективным договором. Получается, что с 09.06.2022 запрос согласия работника и обработка персональных данных в вышеуказанных целях неправомерны (т.е. нет правового основания для этого).

Фрагмент Рекомендаций с изменениями

<…>

Вместе с тем наниматель может осуществлять обработку персональных данных лиц как до оформления трудовых (служебных) отношений (при рассмотрении резюме соискателей на трудоустройство), так и после прекращения трудовых (служебных) отношений. В таких случаях основания, указанные в абзаце восьмом статьи 6 и абзаце третьем пункта 2 статьи 8 Закона, не применяются.

Кроме того, в ряде случаев взаимоотношения между нанимателем и работником не основаны непосредственно на исполнении трудовых обязанностей (например, участие работников в общественной жизни организации, спортивных, культурно-массовых мероприятиях, организация добровольного медицинского страхования, посещение бассейна и т.п.).

В подобных случаях могут быть использованы в зависимости от конкретных обстоятельств иные основания для обработки персональных данных, в частности:

• согласие;
• получение персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
• обработка персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
• обработка персональных данных, когда такая обработка является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.

<…>

Необходимо ли согласие работников при заключении договора добровольного страхования медицинских расходов?

При заключении договора добровольного страхования медицинских расходов между юридическим лицом (в отношении своих работников) и страховой организацией каждая из этих сторон обрабатывает персональные данные работников в собственных интересах (для собственных целей) и является самостоятельным оператором. Соответственно каждый оператор должен иметь правовые основания для такой обработки.

Если добровольное страхование медицинских расходов предусмотрено коллективным договором, обработка персональных данных, которая необходима для выполнения нанимателем обязанностей, предусмотренных коллективным договором, осуществляется без согласия субъектов персональных данных на основании абз. 8 ст. 6 Закона № 99-З.

Если коллективный договор отсутствует или не предусматривает положений о добровольном страховании медицинских расходов, правовым основанием для предоставления юридическим лицом персональных данных своих работников страховой организации в целях заключения договора добровольного страхования медицинских расходов может служить согласие на обработку персональных данных либо заявление работника (абз. 16 ст. 6 Закона № 99-З).

Правовым основанием для обработки персональных данных застрахованных лиц страховой организацией для целей исполнения договора добровольного страхования медицинских расходов, заключенного между страховой организацией и юридическим лицом, независимо от наличия или отсутствия коллективного договора является согласие субъекта персональных данных.

Последствия нарушения порядка обработки персональных данных

За нарушение порядка обработки персональных данных предусмотрено привлечение должностного лица к дисциплинарной ответственности вплоть до увольнения, а также к материальной ответственности за излишние денежные выплаты в случае взыскания с нанимателя морального вреда (ст. 400 ТК; п. 2 ст. 19 Закона № 99-З).

НЦЗПД возмещение морального вреда относит к основным правам субъекта персональных данных.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных Законом № 99-З, подлежит возмещению (п. 2 ст. 19 Закона № 99-З). Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Для организаций (операторов) возмещение морального вреда представляет собой «мину замедленного действия». Так, в марте 2022 г. на одном из белорусских предприятий произошел инцидент: из-за несанкционированного доступа к информационным системам организации были распространены персональные данные 55 тысяч граждан. Однако соответствующее уведомление в адрес НЦЗПД предприятие в установленный срок не направило. В результате принятых НЦЗПД мер персональные данные граждан были удалены, а соответствующие материалы направлены в органы внутренних дел в целях привлечения предприятия к административной ответственности по ст. 24.11 КоАП (ст. 16 Закона № 99-З).

При такой большой утечке персональных данных и официальном подтверждении данного факта каждый субъект персональных данных формально получает право на возмещение морального вреда. Получается, что потенциальный риск для оператора составляет: 55 000 (количество пострадавших субъектов персональных данных) × 100 руб. (согласно судебной практике, как правило, нижняя граница суммы возмещения морального вреда) = 5 500 000 руб.

Сроки исковой давности на требования о компенсации морального вреда, вытекающие из нарушения личных неимущественных прав и других не­материальных благ, не распространяются, за исключением исков о возмещении морального вреда в сфере нарушения имущественных прав граждан. Это означает, что если гражданину был причинен моральный вред, допустим, 5 лет назад, то он и сейчас вправе обратиться в суд с иском о его возмещении.

Таким образом, пострадавшие субъекты персональных данных могут в любое время потребовать возмещения морального вреда. В этом и заключается «мина замедленного действия» (невозможно точно предусмотреть, когда возникнут такие требования и в каком размере).

В шаге 6 Алгоритма* НЦЗПД указано, что в должностных инструкциях работников, трудовая функция которых в основном связана с обработкой персональных данных в информационном ресурсе (системе) (включая работников кадровых, бухгалтерских служб, работников, ответственных за функционирование информационного ресурса (системы)), могут быть предусмотрены следующие обязанности по соблюдению установленного законодательством о персональных данных и локальными правовыми актами порядка обработки персональных данных:

– разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

– получать в необходимых случаях согласие субъекта персональных данных на обработку персональных данных;

– принимать меры по обеспечению достоверности обрабатываемых персональных данных, при необходимости вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок актуализации персональных данных установлен законодательными актами либо если цели обработки персональных данных не предполагают изменение таких данных в последующем;

– осуществлять контроль за соответствием срока обработки персональных данных заявленным целям, прекращать обработку персональных данных, а также обеспечивать их удаление или блокирование при отсутствии правовых оснований для обработки персональных данных;

– представлять и распространять персональные данные только при наличии соответствующего правового основания;

– обеспечивать представление субъектам персональных данных информации об их персональных данных, а также о представлении их персональных данных третьим лицам, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;

– обеспечивать доступ к персональным данным в установленном порядке, вести учет такого доступа и случаев предоставления, распространения персональных данных третьим лицам;

– при возникновении при обработке персональных данных спорных вопросов привлекать уполномоченное лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.

Конкретный перечень таких обязанностей определяется в каждом отдельном случае, исходя из специфики деятельности работника.

В целом указанные обязанности следуют из обязанностей оператора, перечисленных в ст. 4, 5, 10–14, 16, 17 Закона № 99-З. НЦЗПД рекомендует включить их в обязанности конкретных должностных лиц. В рассматриваемом случае это должностные лица кадровой службы, так как речь идет об обработке персональных данных работников.

На практике многие операторы последовали рекомендациям НЦЗПД и включили указанные обязанности в должностные инструкции своих работников, включая работников кадровой службы. Это означает, что кадровик обязан в т.ч. разъяснять работникам, на каком правовом основании обрабатываются их персональные данные, включая такую обработку при предоставлении социального пакета, а также с учетом реестра обработки персональных данных и норм ст. 4 и 5 Закона № 99-З запрашивать согласие работников.

Документы:

Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон № 99-З).

Трудовой кодекс Республики Беларусь (ТК).

Кодекс Республики Беларусь об административных правонарушениях (КоАП).