22 декабря 2011 г.

Блуждая между Трудовым кодексом и ФЗ-152: сведения о состоянии здоровья работника

Наши думцы вот уже шесть лет не могут привести законодательство о персональных данных к единому знаменателю. Приняв в первом чтении 25 ноября далекого уже 2005 года проект федерального закона № 217355-4 «О внесении изменений в некоторые законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и ФЗ «О персональных данных», дальше парламентарии сдвинуться так и не смогли. 24 февраля 2009 года проект был в очередной раз направлен Президенту РФ, в комитеты и комиссию Госдумы, Правительство РФ, Верховный Суд РФ с просьбой представить новую порцию поправок к 30 апреля 2009 года. Давно прошел и этот срок, а воз и ныне…
Между тем, по оценке Роскомнадзора, вопросы обработки персональных данных так или иначе затрагивают 75 международных договоров, подписанных Россией, 13 кодексов, более 100 законов и 250 актов Правительства. И далеко не все вопросы в них трактуются одинаково.
И пока все эти документы не гармонизированы, плутать в их лабиринте приходится самим, анализируя, сопоставляя и пытаясь и закон не нарушить, и жизнь не остановить.
В последнее время я писал о противоречиях законодательства о персональных данных и особенностях его применения, связанных с отнесением сведений к биометрическим данным, созданием общедоступных справочников и размещением баз данных на интернет-сайтах, специфике реализации требований в сбытовых компаниях, интернет-магазинах и образовательных учреждениях.
В сегодняшнем посте – одна из двух проблем, с которой сталкиваются все без исключения операторы персональных данных (читай – предприятия и организации) страны: обработка сведений о состоянии здоровья работника. Вторая, о возможности получения и использования персональных данных близких родственников работника, будет рассмотрена в следующий раз.
Обрабатывать сведения о состоянии здоровья своих работников любой работодатель просто вынужден – без листков нетрудоспособности ни в одном кадровом органе и бухгалтерии не обойтись, а многие еще и вынуждены проводить медицинское освидетельствование персонала перед допуском их к выполнению работы – водителей, пилотов и много кого еще. Есть еще вопросы, связанные с ограничением трудоспособности, инвалидностью и т.п.
Как известно, сведения о состоянии здоровья относятся к специальной категории персональных данных, и их обработка возможна или с согласия субъекта в письменной форме, или в случаях, прямо предусмотренных ФЗ-152. Таких случаев совсем немного, и применительно к деятельности кадрового органа и бухгалтерии предприятия, они сводятся всего к двум:
·      обработка персональных данных в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
·      обработка персональных данных в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
А что по этому поводу гласит трудовое законодательство? Трудовой кодекс запрещает запрашивать информацию о состоянии здоровья работника, за исключением сведений, относящихся к вопросу о возможности выполнения работником трудовой функции. Т.е., если стоит вопрос о выполнении трудовых обязанностей или возможности невыхода на работу, – запрашивать сведения можно.
Что ж, уже что-то.
Из сопоставления норм ФЗ-152 и ТК РФ делаем вывод: сведения о состоянии здоровья, относящиеся к возможности выполнения трудовой функции (инвалидность, временная нетрудоспособность, беременность, соответствие параметров здоровья допустимым при решении вопроса о допуске к работе) работодатель обрабатывает законно, и никаких специальных, тем более письменных, согласий работников на это не нужно.
А вот если работодатель организует, например, диспансеризацию, и хочет познакомиться с ее результатами, сделать это без согласия работников никак нельзя. Исключения могут быть допущены только для работников, обязанных иметь санитарные книжки, – персонала медицинских и детских учреждений, продавцов и т.п. или требующих обязательного медицинского освидетельствования или осмотра – водителей, летного и судового состава, работников железнодорожного транспорта и т.д.
В остальных случаях ответственность за незаконную обработку специальных категорий персональных данных будет нести как работодатель, так и медицинское учреждение, предоставившее эти сведения. Пример – привлечение по представлению прокуратуры к ответственности по ст.13.14 КоАП Горно-Алтайским городским судом главврача районной больницы, который передал на предприятие сведения о диагнозах его работниц после прохождения ими медосмотра.

18 комментариев:

  1. Вот ещё несогласованность:
    пункт 8 статьи 86 ТК требует ознакомления с политикой обработки ПДн под роспись

    а часть 2 статьи 18.1 152-ФЗ требует опубликовать политику обработки ПДн

    ОтветитьУдалить
  2. Не совсем так. п.8 ст.86 требует ознакомления под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Это обычно Положение об обработке и обеспечении безопасности, документ сугубо внутренний и детальный. А Политика - это свод принципов высокого уровня, он и публикуется.

    ОтветитьУдалить
  3. Цитату п.8 ст.86 вы привели верно.

    "работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области"

    А вот с выводом я совершенно не согласен.
    Эта фраза говорит, что субъект ПДн (работник) должен быть ознакомлен с тем как обрабатываются данные субъектов ПДн (работников) и о правах и обязанностях субъектов.

    По смыслу это как раз та самая публичная политика собработки ПДн из 152-ФЗ которую Вы обсуждали с Волковым тут http://anvolkov.blogspot.com/2011/09/ein-zwei-policy.html.

    Ведь п.8 ст.86 требует ознакомить с ней всех до единого субъектов ПДн(сотрудников), а не только тех, которые участвуют в обработке Пдн.

    И Роскомнадзор проверяет чтобы были ознакомлены все 500 сотрудников, а не только 20 пользователей ИСПДн.

    ОтветитьУдалить
  4. если интересно, вот прецедент, когда инвалидность признали не сведениями о здоровье, а сведениями о социальном статусе.
    http://www.itsec.pro/2011/11/blog-post_23.html

    ОтветитьУдалить
  5. Секрет, как всегда, кроется в терминологии. Что такое "сведения о состоянии здоровья"? "Здоров" - "нездоров" - это они? Или может это что-то большее - например то, что граничит с понятием "врачебной тайны"? Споров на эту тему была масса, к общему знаменателю так и не пришли, но решили, что "сведения о состоянии здоровья" и "сведения о трудоспособности" это разные вещи. Диспансеризация хороший пример - она проводится регулярно, но работодателю никто ничего не дает, кроме медицинского заключения, в котором написано, способен сотрудник выполнять обязанности исходя из условий труда и состояния здоровья или нет. То есть "сведения о трудоспособности" - это некая производная от "состояния здоровья", но не одно и то же.

    ОтветитьУдалить
  6. Что нужно работодателю? Информацию об отсутствии у работника заболеваний, препятствующих выполнению трудовой функции. С профессиями, требующими наличия медкнижки понятно. А с основной массой профессий туман, хотя и для них ограничения могут быть, причем даже независимо от профессии, а от условий на предприятии. Например, я последние 20 лет работал на 4-5 этаже, потолки 3,5 м, лифта нет. Каково подниматься гипертонику? А если требуется ходить вниз-вверх?

    ОтветитьУдалить
  7. Борис,
    Вот ещё несогласованность:...

    Нет тут несогласованности. Работники обязаны ознакомиться, клиенты должны иметь возможность ознакомиться. Если нет клиентов - можно доработать и успокоиться. Если есть - либо доработать и вывесить на стенд Положение, либо сделать 2 документа (1 на стенде - Политика, другой - в ОК - Положение).

    ОтветитьУдалить
  8. 2Сергей Борисов. Политика - внешний документ, положение - внутренний. Можете, конечно, написать в политике абсолютно все про своих работников, никто не запрещает, но я бы не стал. А знакомить с положением надо всех 500 (в Вашем примере), а не 20. Поэтому как в Положение - и о том, что делает работодатель для защиты ПДн, и как он это делает, и права работника - зачем этим грузить политику? Она для внешнего использования по смыслу. А соглашаться не надо - делайте, как считаете нужным, если это прямо не определено законом и НПА

    ОтветитьУдалить
  9. 2Артем Агеев и Алексей Волков.
    До ФЗ-261 сам доказывал, что инвалидность - не здоровье, а трудоспособность, что не одно и тоже. Теперь особого смысла нет, исходя из моих доводов. За исключением выбора К1 и К3. Тут опять готов стоять на своем - трудоспособность, и все. Вот появятся уровни - разберемся.
    Но, согласитесь, грань мы рисуем сами, исходя из здравого смыла.

    ОтветитьУдалить
  10. На счет справок о здоровье РКН регулярно выписывает постановления и выигрывает суды (тут видимо зависит от профессионализма юристов).
    http://23.rsoc.ru/news/news25411.htm
    http://23.rsoc.ru/docs/23/post2.pdf

    На счет политики/положения.
    В 152-ФЗ не сказана что политика должна распространяться только на клиентов, но не на сотрудников.

    При разработке комплекта документов мы делаем документ подробно описывающий как нужно обрабатывать ПДн и приводим описание каждой меры по защите ПДн (или 2 документа один по обработке другой по защите). Назовем его Положение.

    Второй документ который мы разрабатываем - представляет из себя выдержку основных моментов из Положения - что за данных обрабатываются, какие с ними действия разрешены, цели, сроки хранения, права субъектов, перечень мероприятий по защите. Второй документ назовем Политикой.

    Не вижу смысла знакомить всех 500 сотрудников с Положением. Они его не поймут. Зачем водителю знать порядок уничтожения ПДн. Зачем ему знать порядок взаимодействия Администраторов СЗИ и ответственного за безопасность ПДн и т.п.

    Подробный документ (Положение) - имеет узкую целевую аудиторию.
    Общий документ (Политика) - предназначен для широкой аудитории - всех субъектов ПДн.

    Так хотелось бы. Но приходится всех сотрудников знакомить и с тем и с этим и ещё с кучей документов которые им не нужны, чтоб от РКН подстраховаться.

    ОтветитьУдалить
  11. Как и во многом другом, Михаил Юрьевич, но вот далеко не все считают наш смысл здравым.

    ОтветитьУдалить
  12. В соответствии с частью 2 ст. 6 ФЗ 152 О "Персональных данных"
    Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
    2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
    И это не зависит от категории ПДн.
    Поправьте, если ошибаюсь.

    ОтветитьУдалить
  13. 2Алексей Волков
    А мы еще и психиатрами не подряжались

    ОтветитьУдалить
  14. 2Сергей Борисов. Можно и так. Но я бы внутреннюю обработку (работников) в политику не вешал. Дело вкуса.
    Тем более, что знакомить, как Вы правильно говорите, приходится со всем. Формально.

    ОтветитьУдалить
  15. 2Анонимный. Нет, не так. Специальные категории выделены в одну отдельную группу, для которой действуют более жесткие правила, определяющие правомерность обработки. Как и биометрические. И для них - особые правила. А трудовой договор - не договор о продаже в рабство (ну, если только у спортсменов - но там особо комфортное рабство для некоторых)

    ОтветитьУдалить
  16. >или требующих обязательного медицинского освидетельствования или осмотра – водителей, летного и судового состава, работников железнодорожного транспорта и т.д

    1. Забыли про лиц работников более 50% времени работающих на СВТ (понимаю, что можно отнести по "и т.д.", но лучше вспомнить и про них)
    2. Желательно определиться где в этой обработке работодатель оператор, а где ЛООПДППО ;-)

    ОтветитьУдалить
  17. Алекс, буду писать пособие на эту тему - обязательно учту Ваши пожелания :-)

    ОтветитьУдалить
  18. Михаил Юрьевич может имеет смысл рассмотреть вопрос отнесения той или иной информации в сведения о состоянии здоровья не с позиции 152-ФЗ и ТК, а с позиции профильных НПА, а именно Федеральный закон Российской Федерации от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" ст.22

    ОтветитьУдалить