Правовое определение и значение персональных данных

Под обработкой персональных данных Конвенция Совета Европы «О защите личности в связи с автоматической обработкой персональных данных» от 28 января 1981 г. понимает накопление данных, проведение логических и (или) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение. Определение, сформулированное в статье 85 ТК РФ, в принципе аналогично указанному.⁹

Работодателем чаще всего обрабатываются документы отдела кадров и бухгалтерии, содержащие персональные данные работников:

1. документы, предъявляемые при заключении трудового договора (ст. 65 ТК);

2) документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;

3) документы о состоянии здоровья работника, если в соответствии с законодательством он должен пройти предварительный и периодические медицинские осмотры;

4) документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и др.);

5) документ о беременности работницы и возрасте детей для предоставления матери установленных законом условий труда, гарантий и компенсаций.

Среди персональных данных работника должны быть трудовой договор, приказ (распоряжение) о приеме на работу, приказы (распоряжения) об изменении условий трудового договора, его прекращении, а также приказы (распоряжения) о поощрениях и дисциплинарных взысканиях, примененных к работнику. В период действия трудового договора среди персональных данных работника должна находиться его трудовая книжка.

Основное требование при обработке персональных данных работника -

соблюдение конституционных норм, гарантирующих охрану прав и свобод человека и гражданина.

В связи с этим работодатель обязан соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В  случаях,  непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением некоторых случаев, предусмотренных ми федеральными законами;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в установленном порядке;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

В ст. 10 ФЗ «О персональных данных» указаны специальные категории персональных данных, касающиеся расовой, национальной принадлежности и т.п.

Их обработка не допускается иначе как с письменного согласия субъекта персональных данных и только в ряде исключительных случаев.

Постановлением Правительства РФ №781 от 17 ноября 2007 г. было утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Согласно п. 14 данного Положения, лица, доступ которых к персональным данным в информационной системе необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.

В отношении государственных гражданских служащих действует Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела, утвержденное Указом Президента РФ №609 от 30 мая 2005 г.

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса Российской Федерации и иных федеральных законов.

На основании ст. 8 и ч. 1 ст. 22 ТК РФ работодатель имеет право принимать в пределах своей компетенции локальные нормативные акты, содержащие, в том числе, нормы о порядке хранения и использования информации о персональных данных работников.

Персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или чем это требуется в интересах лиц, о которых собраны данные.

Работу по хранению и использованию персональных данных работника осуществляют лица, состоящие с работодателем в трудовых отношениях (сотрудники кадровых, бухгалтерских и иных служб). Особое место среди них занимают операторы по сбору и обработке персональных данных: обязанности данной категории работников изложены в главе 4 ФЗ РФ «О персональных данных». Поэтому к числу мер по охране персональных данных относится и установление конкретных обязанностей этих работников по обеспечению конфиденциальности информации, относящейся к охраняемой законом тайне. Соответствующее условие должно быть включено в трудовой договор с работником, обрабатывающим персональные данные иных работников. На работодателя возлагается обязанность создавать условия, обеспечивающие исполнение работником своих должностных функций по защите охраняемой законом тайны. В частности, работодатель обязан создать технические условия охраны персональных данных работников от их неправомерного использования (особый режим доступа в помещение, где хранится соответствующая информация, оборудование мест ее хранения, исключающее несанкционированный доступ к информации, и т.п.).

Использование работодателем персональных данных работника осуществляется исключительно в целях обеспечения соблюдения требований законодательства, трудовых прав работника и его личной безопасности, ведения контроля количества и качества выполняемой работы, обеспечения сохранности имущества.

 

2. Передача персональных данных

 

Статья 88 регламентирует порядок  передачи (или ее невозможности) работодателем  персональных данных работника. В частности, работодателю запрещается сообщать персональные данные работника без его письменного согласия:

- третьей стороне (исключение составляют сведения, касающиеся угрозы жизни и здоровью работника, например, вследствие аварийной ситуации, профессионального отравления и т.п.);

- в коммерческих целях.

Лица, имеющие доступ к персональным данным работника (например, работники отдела кадров), обязаны соблюдать секретность (конфиденциальности), причем они должны быть предупреждены (в т.ч. путем записи в должностной инструкции) о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной их утраты, от несанкционированного доступа к ним, изменения или распространения.¹⁰

Имеющаяся персональная информация о работнике может быть предоставлена руководителям служб и подразделений организации только в пределах компетенции этих лиц, для чего необходимо принятие локального нормативного акта, например, положения.

Установленное статьей 88 правило о получении данными лицами только тех персональных данных, которые им необходимы для выполнения конкретных функций, трудно реализуемо на практике. Персональные данные работника собираются в его личном деле, не подлежат дроблению и в принципе доступны для ознакомления лицом, осуществляющим надзорно-контрольные функции в полном объеме. Исполнить требования закона возможно при четкой работе с лицами, осуществляющими функции надзора и контроля за соблюдением законодательства о труде работниками, занятыми у конкретного работодателя, трудовой функцией которых является работа с персональными данными.

В то же время, получателями персональных данных работника на законном основании являются: ФСС России; ПФР; налоговые органы; иные органы государственного надзора и контроля за соблюдением законодательства о труде; органы исполнительной власти, профессиональные союзы, участвующие в расследовании несчастных случаев на производстве.

Возможность трансграничной передачи персональных данных предусмотрена ст. 12 ФЗ "О персональных данных".

Работодатель не имеет права запрашивать информацию о состоянии здоровья работников, за исключением случаев, когда существует необходимость получения таких сведений, связанных с выполнением работником своих трудовых функций. Например, это возможно для решения вопроса о переводе на другую работу, исключающую воздействие неблагоприятных факторов, беременной женщины. В случае расторжения трудового договора по инициативе работодателя на основании ст. 81 ТК РФ работодатель передает на работника (члена профсоюза) соответствующему профсоюзному органу следующие данные: проект приказа, копии документов, которые являются основанием для увольнения.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава 3. Правовая защита персональных данных

 

Принципы защиты персональных данных:

1. Конфиденциальность получаемых  персональных данных, ограничение  доступа к ним иных лиц. Лица, получающие персональные данные  работника, обязаны соблюдать  режим секретности (конфиденциальности).

2. Достоверность и полнота  персональной информации, а равно  запрет включения в персональные  данные недостоверных фактов  и информации, полученной не от  работника или от иных лиц  без его письменного согласия, если это не предусмотрено  федеральным законом. Работник  вправе требовать исключения  этих персональных данных, а также  данных, обработанных с нарушением  требований ТК РФ.

3. Согласно ТК РФ (ст. 86) обработка персональных данных  работника может осуществляться  исключительно в целях обеспечения  соблюдения законов и иных  нормативных правовых актов, содействия  работникам в трудоустройстве,  обучении и продвижении по  службе, обеспечения личной безопасности  работников, контроля количества  и качества выполняемой работы  и обеспечения сохранности имущества. 

4. Свободный доступ работника  к своим персональным данным  и право на полную информацию  о них.

5. Лица, виновные в нарушении  норм, регулирующих получение, обработку  и защиту персональных данных  работника, в соответствии с  указанием ст. 90 ТК РФ, несут дисциплинарную, административную КоАП РФ ст. 13.11 и 13.14 , гражданско-правовую ГК  РФ ст. 1100 , ТК РФ для руководителя  организации ст. 277, или уголовную  ответственность УК РФ ст. 137, 138 .

Лица, виновные в нарушении  норм, регулирующих получение, обработку и защиту персональных данных работника, несут юридическую ответственность (ст. 90 ТК РФ). Юридическая ответственность указанных лиц предусмотрена за виновное поведение, которое проявляется в их действиях или бездействии.

Так, в соответствии законом об информации ответственность за незаконное ограничение доступа к информации и нарушение режима защиты информации несут руководители и другие служащие органов государственной власти, организаций при наличии их вины в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.

Дисциплинарная ответственность  устанавливается в связи с  совершением работником (в том числе руководителями, служащими, должностными лицами) дисциплинарного проступка, по правилам, установленным ТК РФ (а для отдельных категорий работников федеральными законами, уставами и положениями о дисциплине).