Защита персональных данных работника

Трудовой кодекс РФ закрепил основные требования по защите персональных данных работника (глава 14, ст. 85-90). Работа любой организации связана с подбором персонала, а также с накоплением, обработкой, хранением и использованием значительных объемов сведений о работниках. Поэтому проблема наличия в организации документа о защите персональных данных работника от неправомерного использования становится все более актуальной [2]. Под защитой персональных данных работника следует понимать деятельность управомоченных лиц (работодателя, должностных лиц работодателя) по обеспечению конфиденциальности информации о конкретном работнике, полученной работодателем в связи с трудовыми отношениями. Защита персональных данных обеспечивается системой правовых (локальное регулирование порядка обработки персональных данных) и организационно-технических мер [3]. Субъектами персональных данных являются граждане РФ, иностранные граждане и лица без гражданства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные. Держатели персональных данных - органы государственной власти и местного самоуправления, организации всех организационно-правовых форм, осуществляющие владение и пользование этими данными. Персональные данные о работнике отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа. Работодателю целесообразно включать в кадровую документацию организации положение, регламентирующее принципы защиты персональных данных работника от неправомерного использования. В положении прописываются цели и задачи организации в области защиты персональных данных, раскрывается их понятие и состав, а также указывается, в каких структурных подразделениях и на каких носителях информации накапливаются и хранятся эти данные. 8 положении следует отразить, каким образом осуществляется сбор персональных данных (п. 3 ст. 86 ТК РФ), кто в организации (по должностям) имеет к ним доступ, как обрабатываются и используются эти данные и как они защищены от несанкционированного доступа не только внутри организации, но и относительно представителей других организаций. Положение о защите персональных данных работника утверждается приказом руководителя организации. Работник должен быть ознакомлен с положением о защите персональных данных под роспись. Расписка об ознакомлении с положением содержит следующие данные: фамилия, имя, отчество работника, структурное подразделение, должность, дата, подпись. Персональные данные работника содержатся в основном документе персонального учета работников - личном деле работника. Первоначально в личное дело группируются документы, содержащие персональные данные работника, в порядке, отражающем процесс приема на работу: кадровая справка; заявление работника о приеме на работу; анкета; автобиография; характеристика-рекомендация; результат медицинского обследования на предмет годности к осуществлению трудовых обязанностей; копия приказа о приеме на работу; расписка работника об ознакомлении с документами организации, устанавливающими порядок обработки персональных данных работников, а также о его правах и обязанностях в этой области; расписка работника об ознакомлении его с локальными нормативными актами организации; дополнение к личному делу; карточка поощрений и взысканий; внутренняя опись.

Все документы личного дела подшиваются в обложку образца, установленного в организации; на обложке должны быть фамилия, имя, отчество работника. Персональные данные могут содержаться также в документации по организации работы отдела кадров (приказы, распоряжения, указания руководства предприятия, должностные инструкции и др.). Работодатель не вправе требовать от работника предоставления информации о его политических и религиозных убеждениях и о частной жизни. Работник предоставляет работодателю достоверные сведения о себе. Последний сверяет предоставленные данные с имеющимися у работника документами. При изменении персональных данных работник письменно уведомляет о них работодателя в срок, не превышающий 14 дней. По мере необходимости работодатель истребует у работника дополнительные сведения и документы, подтверждающие их достоверность. Анкета работника хранится в его личном деле, как и вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел кадров, ответственный за ведение личных дел - начальник отдела кадров. Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела обычно находятся в отделе кадров в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела должны сдаваться в отдел кадров. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети [7]. Доступ к персональным данным работника, как правило, имеют генеральный директор, заместитель генерального директора, главный бухгалтер, а к тем данным, которые необходимы для выполнения конкретных функций, - также непосредственный руководитель работника, специалисты отдела кадров и бухгалтерии. Доступ специалистов других отделов к персональным данным должен осуществляться на основании письменного разрешения генерального директора или его заместителя. При переводе работника в другой отдел его личное дело может быть передано начальнику отдела, в который переводится работник. Делать копии и выписки персональных данных работника допускается исключительно в служебных целях с письменного разрешения начальника отдела кадров. Персональные данные работника используются только для целей, связанных с выполнением работником трудовых функций.

Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера заработной платы. На основании персональных данных решается вопрос о его допуске к информации, составляющей служебную или коммерческую тайну. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. Если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом. Если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника либо отсутствует письменное согласие работника на предоставление его персональных сведений, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных. Персональные данные работника могут быть переданы представителям работников в порядке, установленном ТК РФ, в том объеме, в каком это необходимо для выполнения указанными представителями их функций..Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана. При обработке персональных данных (т. е. при их получении, хранении, комбинировании, передаче или любом другом использовании) работодатель и его представители обязаны соблюдать установленные Кодексом общие требования (ст. 86 ТК РФ). Обработка персональных данных работника может осуществляться только в определенных целях, связанных с трудовыми отношениями: обеспечение соблюдения законов и иных нормативных правовых актов; личной безопасности работников; сохранности имущества; содействие работникам в трудоустройстве, обучении и продвижении по службе; контроль количества и качества выполняемой работы. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ, иными федеральными законами. Получение персональных данных должно осуществляться в установленном законом порядке. По общему правилу все персональные данные следует получать у самого работника. Если же персональные данные возможно получить только у третьей стороны, то необходимо соблюдение следующих условий:

· Уведомление работника работодателем о намерении получить персональные данные у третьей стороны (с указанием цели, предполагаемых источников и способов получения данных, их характера, последствий отказа работника дать письменное согласие на их получение)

· Получение письменного согласия работника на получение его персональных данных у третьего лица

Кодекс устанавливает ряд ограничений на обработку персональных данных определенного рода. Так, работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом (п. 4 ст. 86 ТК РФ), а также сообщать персональные данные работника в коммерческих целях без его письменного согласия (абз. 2 ст. 88 ТК РФ). Следует также подчеркнуть, что на основании ст. 88 Кодекса работодатель может самостоятельно оценивать степень угрозы жизни и здоровью работника и с целью предупреждения такой угрозы предоставлять персональную информацию любым третьим лицам. Защита персональных данных работника от их неправомерного использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Статья 87 ТК РФ предоставляет работодателям возможность самостоятельно устанавливать порядок хранения и использования персональной информации. Однако практика работы кадровых служб показывает, что требуется законодательно установленная, строго регламентированная процедура хранения, использования и защиты работодателем персональной информации. На сегодняшний день у подавляющего числа работодателей отсутствуют какие-либо локальные нормативные акты, регулирующие передачу персональных данных работника работодателю. В целях обеспечения защиты своих персональных данных, хранящихся у работодателя, работник в соответствии со ст. 89 Кодекса обладает правом на полную информацию о персональных данных и их обработке; на свободный бесплатный доступ к ним, включая право на получение копий любой записи, их содержащей; определение своих представителей для защиты персональных данных; доступ к относящимся к персональным медицинским данным с помощью медицинского специалиста по его выбору; на подачу требования об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ; на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защиты персональных данных. Соблюдение всех вышеизложенных требований должны обеспечивать совместными усилиями кадровая служба, юридическая служба, а в случае ведения автоматизированного учета кадров и специалисты по защите информации.

Защита нарушенных прав в данной сфере осуществляется в соответствии со ст. 90 ТК РФ, согласно которой лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.