Защита персональных данных работника

В связи с тем, что право определять порядок  хранения и использования персональных данных работников предоставлено работодателю при соблюдении требований Кодекса, этот вопрос может быть решен:

1) локальными актами работодателя, принятыми в установленном порядке  (см. ст. 8 ТК), в том числе правилами  внутреннего трудового распорядка (см. ч. 4 ст. 189 и ст. 190);

2) коллективным договором.

Конкретные права, обязанности, действия работников, в трудовые обязанности  которых входит обработка персональных данных, определяются должностными инструкциями.

Унифицированные формы первичного учета документов по учету труда  и его оплаты утверждены постановлением Госкомстата РФ от 6 апреля 2001 г. N 26. Тем же постановлением утверждена Инструкция по применению и заполнению этих форм.³²

В ст. 88 ТК сформулированы требования, которые обязан соблюдать работодатель при передаче персональных данных работника. В соответствии с указанной статьей  работодатель, по общему правилу, не вправе сообщать, кому бы то ни было персональные данные работника без его письменного  согласия. Исключения из этого правила  могут устанавливаться специальными законами.

В соответствии со ст.86 Кодекса  защита персональных данных работника  возлагается на работодателя. В то же время в целях обеспечения  защиты указанных данных, хранящихся у работодателя, ст.89 Кодекса предусмотрено, что работники имеют право  на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к персональным данным, включая право  на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных  федеральным законом;

определение своих представителей для защиты своих персональных данных (неясно, что в данном случае имеется  в виду при условии, что ст.88 Кодекса  установлены ограничения в части  передачи информации представителям работников; может быть, речь идет об определении  представителей для защиты нарушенных прав работников);

доступ к относящимся  к ним медицинским данным с  помощью медицинского специалиста  по их выбору;

требование об исключении или исправлении неверных или  неполных персональных данных, а также  данных, обработанных с нарушением требований Кодекса. При отказе работодателя исключить или исправить персональные данные работника он имеет право  заявить в письменной форме работодателю о своем несогласии с соответствующим  обоснованием такого несогласия, а  персональные данные оценочного характера  работник имеет право дополнить  заявлением, выражающим его собственную  точку зрения (но какими должны быть действия работодателя в этих случаях, в Кодексе не определено);

требование об извещении  работодателем всех лиц, которым  ранее были сообщены неверные или  неполные персональные данные работника, о всех произведенных в них  исключениях, исправлениях или дополнениях;

обжалование в суд  любых неправомерных действий или  бездействия работодателя при обработке  и защите его персональных данных.

Статья 88 ТК обеспечивает не только конфиденциальность, но и допустимость передачи персональных данных работника  третьим лицам (физическим, юридическим) при определенных условиях.

На сохранение конфиденциальности, тайны сведений о работнике направлен  и ряд других законов. См., например, ст. 61 Основ законодательства РФ об охране здоровья граждан от 22 июля 1993 г. N 5487-1 (Ведомости РФ. 1993. N 33. Ст. 1318); ст. 63 СК РФ (СЗ РФ. 1996. N 1. Ст. 16).

Важно подчеркнуть, что ст. 89 ТК предусматривает право работника  на обжалование в суд любых  неправомерных действий или бездействия  работодателя при обработке и  защите его персональных данных.

Статья 89 ТК содержит не только права работников в целях обеспечения  защиты персональных данных, хранящихся у работодателя (как обозначено в  наименовании статьи), но и права  работника на бесплатный доступ к  персональным данным о нем, на полную информацию о содержании его персональных данных.

В ст. 89 ТК указаны различные  способы защиты, к которым может  прибегнуть работник, вплоть до обжалования  в суд любых противоправных действий или бездействия работодателя при  обработке и защите его персональных данных.

Органы государственной  власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его  права и свободы, если иное не предусмотрено  законом (ч. 2 ст. 24 Конституции РФ).

Трудовой кодекс (ст. 88) разрешает использовать персональные данные работника исключительно  при соблюдении определенных кодексом ограничений. Работодателю нельзя сообщать эти данные третьей стороне без  письменного согласия работника, кроме  случаев, когда это необходимо для  предупреждения угрозы жизни и здоровью, а также в случаях, установленных  законом. При передаче персональных данных работника работодатель не должен без его письменного согласия сообщать эти данные в коммерческих целях (для получения прибыли). Порядок  хранения и использования персональных данных работников в организации  устанавливается работодателем с соблюдением требований Трудового кодекса. В организации должен быть принят документ (приказ, указание), в котором устанавливается порядок работы с персональными данными работника. С таким документом работники должны быть ознакомлены под расписку. Лица, виновные в нарушении норм, касающихся порядка обработки персональных данных, могут быть привлечены к дисциплинарной, административной, гражданско-правовой или уголовной ответственности.

Личные дела хранятся в  бумажном виде в папках, прошитые и  пронумерованные по страницам. Личные дела находятся в отделе кадров в  специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. ³³

В конце рабочего дня все  личные дела сдаются в отдел кадров.

Персональные данные работников могут также храниться в электронном  виде на локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается 2-ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем генерального директора и сообщаются индивидуально  сотрудникам, имеющим доступ к персональным данным работников. Изменение паролей  заместителем генерального директора  происходит не реже 1 раза в 2 месяца. Доступ к персональным данным работника  имеют генеральный директор, заместитель  генерального директора, главный бухгалтер, а также непосредственный руководитель работника, специалисты отдела кадров и бухгалтерии - к тем данным, которые  необходимы для выполнения конкретных функций. Доступ специалистов других отделов  к персональным данным осуществляется на основании письменного разрешения генерального директора или его  заместителя. При переводе работника  в другой отдел личное дело работника может быть передано начальнику того отдела, в который переводится работник.

Копировать и делать выписки  персональных данных работника разрешается  исключительно в служебных целях  с письменного разрешения начальника отдела кадров.

Персональные данные работника  используются для целей, связанных  с выполнением работником трудовых функций.

Работодатель использует персональные данные, в частности, для  решения вопросов продвижения работника  по службе, очередности предоставления ежегодного отпуска, установления размера  заработной платы. На основании персональных данных работника решается вопрос о  допуске работника к информации, составляющей служебную или коммерческую тайну.

При принятии решений, затрагивающих  интересы работника, работодатель не имеет  права основываться на персональных данных работника, полученных исключительно  в результате их автоматизированной обработки или электронного получения. Работодатель также не вправе принимать  решения, затрагивающие интересы работника, основываясь на данных, допускающих  двоякое толкование. В случае если на основании персональных данных работника  невозможно достоверно установить какой-либо факт, работодатель предлагает работнику  представить письменные разъяснения. ³⁴

Информация, относящаяся  к персональным данным работника, может  быть предоставлена государственным  органам в порядке, установленном  федеральным законом.

В случае если лицо, обратившееся с запросом, не уполномочено федеральным  законом на получение персональных данных работника, либо отсутствует  письменное согласие работника на предоставление его персональных сведений, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

Персональные данные работника  могут быть переданы представителям работников в порядке, установленном  Трудовым кодексом, в том объеме, в каком это необходимо для  выполнения указанными представителями  их функций.

Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в  котором регистрируются запросы, фиксируются  сведения о лице, направившем запрос, дата передачи персональных данных или  дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

В случае если лицо, обратившееся с запросом, не уполномочено федеральным  законом или настоящим положением на получение информации, относящейся  к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в  выдаче информации, копия уведомления  подшивается в личное дело работника.

Информация, относящаяся  к персональным данным работника, является служебной тайной и охраняется законом.

Работник вправе требовать  полную информацию о своих персональных данных, их обработке, использовании  и хранении.

В случае разглашения  персональных данных работника без  его согласия работник вправе требовать  от работодателя разъяснений.

§ 3. Ответственность за нарушение  норм, регулирующих обработку и защиту персональных данных работника

Личная тайна гражданина охраняется Конституцией Российской Федерации. Разглашение этой тайны, т.е. бесконтрольное распространение персональных данных во времени и пространстве, может  нанести значительный ущерб физическому  лицу.

Работа службы персонала, управления или отдела кадров, менеджера  по персоналу, иногда в некрупных  организациях - секретаря-референта (далее - отдела кадров) связана с накоплением, формированием, обработкой, хранением  и использованием значительных объемов  сведений о всех категориях сотрудников. Эти сведения относятся к так  называемым персональным данным, которые  по своей сути отражают личную или  семейную тайну граждан, их частную  жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа.

Личная тайна гражданина охраняется Конституцией Российской Федерации. Разглашение этой тайны, т.е. бесконтрольное распространение персональных данных во времени и пространстве, может  нанести значительный ущерб физическому  лицу. Понятие личной тайны близко примыкает к семейной тайне. Семейная тайна или тайна нескольких физических лиц, членов семьи, не тождественна личной тайне по составу защищаемых сведений. Например, к семейной тайне относятся: тайна усыновления, тайна отцовства, тайна наследственного заболевания  и др.

Под персональными данными (информацией о гражданах) понимается любая документированная информация, относящаяся к конкретному человеку. Персональные данные идентифицируют личность каждого человека. Субъектами персональных данных являются граждане Российской Федерации, иностранные граждане и  лица без гражданства, находящиеся  на территории России, к личности которых  относятся соответствующие персональные данные. Держатели персональных данных - органы государственной власти и  местного самоуправления, предприятия, учреждения, организации, юридические  и физические лица, осуществляющие владение и пользование этими  данными. Пользователями персональных данных могут быть органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, обращающиеся к держателю данных за получением необходимых им персональных данных и пользования ими без права передачи.

Персональные данные всегда относятся к категории конфиденциальной информации. Не допускается сбор, передача, уничтожение, хранение, использование  и распространение информации о  частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений  физического лица без его согласия, кроме как на основании судебного  решения. Режим конфиденциальности персональных данных снимается в  случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.

Работа с персональными  данными должна осуществляться только для выполнения задач соответствующего держателя или пользователя персональных данных и устанавливается действующим  законодательством, лицензией или  договором. Персональные данные не могут  быть использованы в целях причинения имущественного и (или) морального вреда  гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан  на основе использования информации об их социальном происхождении, расовой, национальной, языковой, религиозной  и партийной принадлежности запрещено  и карается в соответствии с законодательством.

Субъект персональных данных самостоятельно решает вопрос передачи кому-либо сведений о себе за исключением  случаев предусмотренных законодательством. В свою очередь субъект имеет  право на доступ к персональным данным, относящимся к его личности, и  получение сведений о наличии  этих данных и самих данных. При  наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя этих данных внесения в них изменений и дополнений.