Защита персональных данных работника

Если же персональные данные, возможно, получить только у третьей  стороны, то необходимо соблюдение следующих  условий:

1) уведомление работника  работодателем о намерении получить  персональные данные у третьей  стороны (с указанием цели, предполагаемых  источниках и способах получения  данных, их характере, последствий  отказа работника дать письменное  согласие на их получение);

2) получение письменного  согласия работника на получение  его персональных данных у  третьего лица.

К сожалению, законодатель не дает разъяснения, что следует понимать под письменным согласием. В связи  с этим получение письменного  согласия может осуществляться в  произвольной форме. Например, работник может собственноручно написать запрашиваемые данные и представить  их работодателю, которому порой бывает крайне необходимо убедиться в правильности представленных данных. Нормы нового Трудового кодекса РФ нуждаются  в детализации процесса затребования от работника персональных данных.

Так, в мировой практике считается обычным делом запрос в образовательное учреждение о  подтверждении полученного работником образования, присуждения ему квалификационной категории, состояния его здоровья и т.п.

Отсутствие в законе перечня  случаев, когда работодатель имеет  право с уведомления работника  затребовать персональные данные от третьих лиц, порождает на практике ситуации, в которых работодатель, сообщая о последствиях отказа работника  дать письменное согласие на получение  персональных данных у третьих лиц, всегда может "запугать" работника  и получить такое согласие, так  как закон не гарантирует неприменение "репрессивных" мер со стороны  работодателя в случае отказа.

В-четвертых, ТК РФ устанавливает ряд ограничений на обработку персональных данных определенного рода. Так, работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом (п. 4 ст. 86 ТК РФ), а также сообщать персональные данные работника в коммерческих целях без его письменного согласия (абз. 2 ст. 88 ТК РФ). Следует также подчеркнуть, что работодатель может самостоятельно оценивать серьезную и неминуемую угрозу жизни и здоровью работника, ее степень, и с целью необходимости предупреждения такой угрозы предоставлять персональную информацию любым третьим лицам (ст. 88 ТК РФ). ¹⁸

В-пятых, защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Норма ст. 87 ТК РФ предоставляет  работодателям самостоятельно устанавливать  порядок хранения и использования  персональной информации. Практика же работы кадровых служб показывает, что требуется законодательно установленная, строго регламентированная процедура  хранения, использования и зашиты работодателем персональной информации. На сегодняшний день у подавляющего числа работодателей отсутствуют  какие-либо локальные нормативные  акты, регулирующие передачу персональных данных работника работодателю.

Зашита персональных данных должна, обеспечиваться всем комплексом правовых и организационно-технических  мер зашиты.

Согласно статье 90 Трудового  кодекса РФ лица, виновные в нарушении  норм, регулирующих получение, обработку  и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

В соответствии со ст. 20 Федерального закона "Об информации, информатизации и защите информации" целями зашиты информации являются:

1) предотвращение утечки, лишения, утраты, искажения, подделки  информации;

2) предотвращение угроз  безопасности личности, общества, государства; 

3) предотвращение несанкционированных  действий по уничтожению, модификации,  искажению, копированию, блокированию  информации, предотвращение других  форм незаконного вмешательства  в информационные ресурсы и  информационные системы, обеспечение  правового режима документированной  информации как объекта собственности; 

4) защита конституционных  прав граждан на сохранение  личной тайны и конфиденциальности  персональных данных, имеющихся  в информационных системах;

5) сохранение конфиденциальности  документированной информации в  соответствии с законодательством  и др.

Защите подлежит любая  документированная информация, неправомерное  обращение с которой может  нанести ущерб ее собственнику, владельцу, пользователю или иному лицу (п. 1 ст. 21 Федерального закона "Об информации, информатизации и защите информации").

Поскольку персональные данные являются разновидностью личной тайны  и, следовательно, личным нематериальным благом, то их зашита, прежде всего, осуществляется гражданским правом. При этом выбираются способы зашиты, не имеющие целью  восстановление нарушенной имущественной  сферы потерпевшего лица. Согласно ст. 12 ГК РФ такими способами являются:

- признание права; 

- восстановление положения,  существовавшего до нарушения  права; 

- пресечение действий, нарушающих  право или создающих условия  его нарушения; 

- прекращение или изменение  правоотношения;

- иные способы, предусмотренные  законом. 

Кроме того, потерпевший вправе требовать возмещения морального вреда (ст. 151, п. 5 ст. 152, ст. 1099-1101 ГК РФ). Основаниями  возникновения ответственности  работодателя за причинение работнику  морального вреда являются:

наличие моральною вреда, то есть физических или нравственных страданий работника; неправомерное  поведение (действие или бездействие) работодателя, нарушающее право работника; причинная связь между неправомерным  поведением работодателя и страданиями  работника; вина работодателя. Причем работодатель должен признаваться виновным, если он не проявил соответствующей  степени заботливости и осмотрительности и не принял всех мер для надлежащей зашиты персональных данных. Меры гражданской  ответственности за нарушение правил получения, обработки и защиты персональных данных применяются судом.

Меры дисциплинарной ответственности  применяются самим работодателем (в порядке, установленном ТК РФ) в. отношении подчиненных ему  лиц, нарушивших правила обращения  с персональными данными.

Статья 13.11 КоАП РФ предусматривает  наступление административной ответственности  за нарушение установленного законом  порядка сбора, хранения, использования  и распространения информации о  гражданах (персональных данных) в виде предупреждения или наложения административного  штрафа на должностных лиц - от 5 до 10 МРОТ, а на юридических лиц - от 50 до 100 МРОТ. ¹⁹

УК РФ предусматривает  ответственность за незаконное собирание  и распространение сведений о  частной жизни лица, составляющих его личную или семейную тайну, без  его согласия либо распространение  этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной  или из личной заинтересованности и  причинили вред правам и законным интересам граждан. При этом квалифицирующим  признаком является совершение данного  деяния лицом с использованием своего служебного положения.

Но, тем не менее, зашита персональных данных работников, прежде всего, должна обеспечиваться не мерами ответственности, а четкой регламентацией порядка  обращения с документацией, образующейся в процессе основной деятельности отдела кадров организации.

Такая документация включает:

1) комплексы документов, сопровождающих  процесс оформления трудовых  правоотношений (при решении вопросов  о приеме на работу, переводе, увольнении и т. п.);

2) комплексы материалов  по анкетированию, тестированию, проведению собеседований с кандидатами  на должность; 

3) подлинники и копии  приказов по личному составу; 

4) личные дела и трудовые  книжки сотрудников; 

5) дела, содержащие основания  к приказам по личному составу; 

6) дела, содержащие материалы  аттестации сотрудников, служебных  расследований и т.п.;

7) справочно-информационный  банк данных по персоналу - учетно-справочный аппарат (картотеки,  журналы, базы данных и др.);

8) подлинники и копии  отчетных, аналитических и справочных  материалов, передаваемых руководству  предприятия, руководителям структурных  подразделений и служб; 

9) копии отчетов, направляемых  в государственные органы статистки,  налоговые инспекции, вышестоящие  органы управления и другие  учреждения6.

Персональные данные могут  содержаться также в документации по организации работы отдела кадров (приказы, распоряжения, указания руководства  предприятия, должностные инструкции и др.).

Главным моментом в защите персональных данных является четкая регламентация функций работников, осуществляющих обработку персональных данных. Для реализации этого положения  руководителем организации должен быть издан приказ или распоряжение о закреплении за работниками  отдела кадров определенных массивов документов, необходимых им для информационного  обеспечения функций, указанных  в должностных инструкциях этих работников, утверждена схема доступа  работников отдела кадров и руководящего состава организации к документам отдела, введена личная ответственность  перечисленных должностных лиц  и работников за сохранность и  конфиденциальность персональных данных.

Целесообразно в целях  разграничения доступа и разбиения  знании персональных данных между работниками  закрепить за разными работниками:

а) документированное оформление трудовых правоотношений;

б) ведение личных дел и  трудовых книжек;

в) составление и хранение приказов по личному составу и  контрактов;

г) ведение справочно-информационного  банка данных.

При работе с отдельными группами документации необходимо установить особые правила (работа с личными делами, картотеками, книгами персонального  учета сотрудников и др.).

 

Судебная  практика 
 
           1) В помещении отдела кадров НОУ «Английский язык на пять» перегорела лампа дневного освещения. Срочно был вызван штатный электрик Владимир К. Он быстро справился с поставленной задачей. Но, уходя, прочитал приказы о премировании работников административно-хозяйственного отдела, забытые на столе кадровиком. Владимира обидело то, что из всех сотрудников АХО ему была выплачена самая маленькая премия. Посчитав такую ситуацию несправедливой, электрик обратился к директору центра с просьбой выплатить ему премию в большем размере. Владимир был настолько раздосадован, что рассказывал об этой истории любому сотруднику, готовому его выслушать. Директор хотел даже его уволить за разглашение персональных данных. Однако в первую очередь выяснил, каким образом персональные данные других сотрудников стали известны Владимиру и, посоветовавшись с юрисконсультом, передумал. В итоге специалисту по кадрам за несоблюдение установленного порядка работы с документами, содержащими персональные данные, был объявлен выговор.

2) Физическое лицо, разместившее  на своем личном сайте базу  данных с адресами и телефонами  жителей города, понес наказание.  Суд города Лесосибирска признал  его виновным в совершении  преступления, предусмотренного ч. 1 ст. 137 УК РФ (нарушение неприкосновенности  частной жизни) и назначил наказание  в виде 120 часов обязательных работ.

3) Нарушения законодательства о  персональных данных прокуратура  выявила в ОАО "Московская  сотовая связь". Прокуратура возбудила  в отношении юридического лица  ОАО "МСС" дело об административном  правонарушении, предусмотренном ст. 13.11 (нарушение правил защиты информации) Кодекса РФ об административных  правонарушениях. Гендиректор компании  оштрафован, сообщает пресс-служба  Мосгорпрокуратуры.

Итак, под защитой персональных данных работника понимается деятельность управомоченных лиц (работодателя, должностных  лиц работодателя) по обеспечению  конфиденциальности информации о конкретном работнике, полученной работодателем  в связи с трудовыми отношениями.

Защита персональных данных обеспечивается системой правовых (локальное  регулирование порядка обработки  персональных данных) и организационно-технических  мер.

Защита нарушенных прав в  сфере защиты персональных данных обеспечивается мерами государственного принуждения (мерами дисциплинарной, административной, гражданско-правовой и уголовной  ответственности) в соответствии с  федеральными законами.

 

 

ГЛАВА 2. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ТРУДОВОМ ПРАВЕ РОССИИ

§ 1. Обработка персональных данных работника

 

Нормы о защите персональных данных работника абсолютно новые  для трудового законодательства.

Естественно, что при приеме на работу и в процессе трудовой деятельности у работодателя накапливаются  документы, справки, заявления и  другие материалы, которые вместе с  трудовым договором и приказом (распоряжением) о приеме на работу образуют личное дело работника. Содержащиеся в личном деле материалы нередко носят  конфиденциальный характер. Знакомство с ними может быть разрешено только самому работнику, руководителю, персоналу  кадровой службы, но лишь в силу их служебных  полномочий.²⁰

Международные акты, Конституция  РФ, другие федеральные законы предусматривают  защиту сведений о личности и личной жизни граждан от необоснованного  ознакомления с ними или распространения  этих сведений без ведома (согласия) лица, к которому эти сведения относятся.

Среди международных актов, защищающих права и свободы человека, тайну его частной и семейной жизни, следует назвать, прежде всего, Всеобщую декларацию прав человека 1948 г., Конвенцию о защите прав человека и основных свобод 1950 г., Международный  пакт о гражданских и политических правах 1976 г., Конвенцию Содружества  Независимых Государств о правах и основных свободах человека 1995 г.