Правовое регулирование защиты персональных данных работника

В целях обеспечения сохранности документов по личному составу при преобразовании, реорганизации, ликвидации организации рекомендуется включать в учредительные документы правила учета и сохранности документов по личному составу, а также своевременной передачи их на государственное хранение при реорганизации или ликвидации юридического лица7.

Работодатель обязан обеспечить защиту персональных данных сотрудника от неправомерного использования или утраты. Для осуществления такой защиты он должен принимать определенные меры, направленные на защиту персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения персональных данных.

Передача персональных данных работника

Передача персональных данных работника является одной из разновидностей обработки персональных данных. Данный процесс регулируется ст.88 ТК РФ.

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

1)    работодателю запрещается сообщать персональные данные работника без письменного согласия самого работника третьей стороне либо в коммерческих целях. Исключение составляют случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника. Здесь следует обратить внимание на то, что работодатель в данном случае самостоятельно оценивает степень угрозы жизни и здоровью работника и с целью предупреждения такой угрозы предоставляет персональную информацию третьим лицам. Примером данного положения может быть указание ст.228 ТК РФ о незамедлительном информировании при несчастном случае родственников пострадавшего работника, а также ряд государственных и местных властных структур;

2)    работодатель обязан предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами. Например, при проведении оперативно-розыскных мероприятий, когда исследуются документы, происходит опрос, наведение справок и т.д.;

3)    индивидуальный предприниматель, работодатель в пределах своей организации должны осуществлять передачу персональных данных работника в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

4)    работодатель вправе разрешить доступ к персональным данным работников только специально уполномоченным лицам. При этом указанные лица должны иметь право получать только те персональные данные работника, которые ему необходимы для выполнения конкретных функций. Данное положение целесообразно включить в текст локального нормативного акта о персональных данных, где четко прописать, кто из руководителей, других работников имеет доступ к персональным данным работников, в каком объеме предоставляется такой доступ и т.д.;

5)    работодателю запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником его трудовой функции. Например, работодатель обладает правом запросить медицинское заключение в случае необходимости перевода беременной женщины на работу, исключающую воздействие неблагоприятных факторов, что подтверждает ст.254 ТК РФ;

6)    работодатель вправе передавать персональные данные работника представителям работников лишь в объеме, необходимом для выполнения представителями указанных ими функций. Например, в соответствии со ст.373 ТК РФ при расторжении трудового договора по инициативе работодателя на основании п.2, 3, 5 ч.1 ст.81 ТК РФ на работника, являющегося членом профсоюза, работодатель обязан передать профсоюзному органу копии документов, являющихся основанием для увольнения и проект приказа.

Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

В случае, когда обратившееся с запросом третье лицо не уполномочено федеральным законом на получение персональных данных работника либо отсутствует письменное согласие работника на предоставление его персональных сведений, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных8.

 

3. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

 

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в соответствии со ст.90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

В первую очередь ответственность за распространение персональных данных несет работодатель, а также ответственные лица: руководитель отдела кадров или работник, отвечающий за сохранность этих данных, согласно условиям трудового договора или должностной инструкции. Таким образом, главное условие защиты персональных данных – четкая регламентация функций работников отдела кадров, а также обеспечение работодателем защиты документов, дел, картотек, журналов персонального учета и баз данных работников от несанкционированного доступа.

К сотруднику, отвечающему за хранение персональной информации в силу его трудовых обязанностей, работодатель вправе применить одно из дисциплинарных взысканий, а именно: замечание, выговор и увольнение9. В то же время уволить за разглашение персональных данных по подп.»в» п.6 ч.1 ст.81 ТК РФ можно только тех работников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Кроме работников отдела кадров доступ к персональным сведениям также имеют работники бухгалтерии, руководитель организации и лица, его заменяющие.

В случае если работник узнал персональные данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации) и в его должностные обязанности не входит работа с личными сведениями, увольнение за разглашение персональных данных будет являться незаконным.

Моральный вред, причиненный работнику неправомерными действиями или бездействием работодателя, возмещается работнику в денежной форме в размерах, определяемых соглашением сторон трудового договора10. При возникновении спора факт причинения работнику морального вреда и размеры его возмещения определяются судом. В судах рассматриваются индивидуальные трудовые споры о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника (ст.391 ТК РФ).

Административная ответственность за нарушение законодательства о труде введена ст.13.11 КоАП РФ. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на должностных лиц – от 5 до 10 МРОТ, на юридических лиц – от 50 до 100 МРОТ.

Ответственность за разглашение конфиденциальной информации предусмотрена ст.13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило ее, то на такого работника будет наложен административный штраф в размере от 40 до 50 МРОТ.

 В соответствии со ст.150, 151, 152 ГК РФ гражданско-правовая ответственность возможна в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина.

Помимо этого сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены и к уголовной ответственности.

Уголовная ответственность грозит в том случае, если эти действия совершены намеренно, из корыстной или иной личной заинтересованности и повлекли за собой нарушение законных прав и свобод граждан.

Так, ст.137 Уголовного кодекса РФ устанавливает, что незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказывается штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев11.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

И в заключение хочется отметить, что защита персональных данных работников, прежде всего, должна обеспечиваться не мерами ответственности, а четкой регламентацией порядка обращения с документацией, образующейся в процессе основной деятельности отдела кадров организации.

Список используемых источников

 

1. Конституция РФ

2. Трудовой кодекс РФ

3. Уголовный кодекс РФ

3. Федеральный закон «О персональных данных» №152-ФЗ от 27.07.2006 г

Постановление Госкомстата РФ от 05.01.2004 г. №1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»

4. №152-ФЗ «О персональных данных»

5. Распоряжение Правительства  РФ от 21.03.1994 г. №358 «О сохранности документов по личному составу высвобождаемых работников».

6. ред. Федерального закона  от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс Российской Федерации»

 

1 Федеральный закон «О персональных данных» №152-ФЗ от 27.07.2006 г

2 Ст.89. ТК РФ

3 Постановление Госкомстата РФ от 05.01.2004 г. №1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»

4 №152-ФЗ «О персональных данных»

5 ч.2 ст.85 ТК РФ

6 ст.86 ТК РФ

7 Распоряжение Правительства РФ от 21.03.1994 г. №358

8 в ред. Федерального закона от 30.06.2006 N 90-ФЗ

9 ст.192 ТК РФ

10 в соответствии со ст.237 ТК РФ

11 ст.137 УК РФ