» Работодатель на страже персональных данных работника


Работодатель на страже персональных данных работника


21.03.2010

В настоящее время все больше и больше работодателей ведут автоматизированный учет своих работников. Поскольку соискатели для получения работы готовы предоставлять любые данные (паспортные данные, дата и место рождения, номера свидетельств пенсионного страхования, ИНН и др.), работодателю важно четко разграничивать поступаемые персональные сведения и сведения, составляющие тайну частной жизни, личную или семейную тайну гражданина. Ведь содержащаяся в программах информация по ряду причин может стать открытой и попасть на какой — либо сайт в Интернете. Этим работодатель может нанести не только моральный, но и материальный ущерб работнику, так как подобные сведения могут быть использованы для мошеннических схем.
В настоящей статье рассмотрим, какие сведения относятся к персональным данным, как работодатель должен обрабатывать такие данные, предусмотрена ли ответственность за необеспечение их сохранности.

Нормативное регулирование

Информация, относящаяся к категории персональных данных, требует особого режима защиты, регламентации доступа к ней и ее использования. Поэтому законодатель закрепил не только цели и способы сбора, хранения, использования и обработки персональных данных, права и обязанности работодателя и работника, но и меры защиты информации и ответственность лиц, не исполняющих требования по защите.
Множество нормативных актов предусматривает защиту персональных сведений, причем не только российские, но и международные. Например, в силу ст. 12 Всеобщей декларации прав человека*(1) никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту законом от такого вмешательства или таких посягательств.
Аналогичные положения содержат:
— Конвенция о защите прав человека и основных свобод от 04.11.1950;
— Международный пакт о гражданских и политических правах от 16.12.1966;
— Конвенция СНГ о правах и основных свободах человека от 26.05.1995;
— Декларация прав и свобод человека и гражданина*(2).
Конституция РФ учла практически все положения указанных международных актов о защите персональных данных и в ст. 23 установила право на неприкосновенность частной жизни, личную и семейную тайны, защиту чести и доброго имени, а в ст. 24 закрепила положение о недопустимости сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.
Данные конституционные положения были конкретизированы в ряде законов и указов Президента РФ. Например, перечень сведений конфиденциального характера утвержден Указом Президента РФ от 06.03.1997 N 188, а в Федеральном законе от 27.07.2006 N 149-ФЗ «Об информатизации, информационных технологиях и защите информации» затронуты общие проблемы в области информатизации.
Основными нормативными актами в этом вопросе для работодателя будут Трудовой кодекс (гл. 14) и Федеральный закон от 27.06.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ).

Понятие персональных данных

Закон N 152-ФЗ регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без их использования, если обработка данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. В силу ст. 3 Закона 152-ФЗ под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и др.
Для целей трудового законодательства определение персональных данных дано в ст. 85 ТК РФ — это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Работодателями и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных (ч. 1 ст. 7 Закона N 152-ФЗ). Режим конфиденциальности персональных данных снимается в случае обезличивания этих данных или по истечении 75-летнего срока их хранения, если иное не определено законом.
К числу необходимых работодателю и не подлежащих разглашению можно отнести:
— документы, представляемые работником при трудоустройстве (ст. 65 ТК РФ);
— справки о состоянии здоровья, если необходимость их представления предусмотрена законодательством (ст. 69, 213 ТК РФ);
— документы, подтверждающие право работника на определенные гарантии, компенсации и льготы, установленные трудовым законодательством, например, справка об инвалидности, удостоверение почетного донора РФ и др.;
— документы о составе семьи, возрасте ребенка, беременности, предоставляемые для улучшения условий труда;
— сведения о членстве работника в профессиональных союзах, для соблюдения положений ст. 373, 374, 376 ТК РФ.
То есть работодатель обязан не разглашать ставшие ему известными сведения, содержащие персональные данные, третьим лицам без согласия работника. Причем обязанность доказать, что согласие имело место или что персональные данные являются общедоступными, лежит на работодателе.

Обработка персональных данных

Естественно, что работодатель, получив определенные сведения от работника, будет их использовать, например, при начислении заработной платы, расчетов взносов в ПФР, то есть будет их обрабатывать. Под обработкой персональных данных в силу ст. 85 ТК РФ понимают получение, хранение, комбинирование, передачу или любое другое использование персональных данных работника. Оно может осуществляться как с помощью средств автоматизации (например, программа 1С-Зарплата+Кадры), так и без таковых.
Постановлением Правительства РФ от 17.11.2007 N 781 утверждено положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в соответствии с которым работодатель должен разместить информационные системы и специальное оборудование в охраняемых помещениях, обеспечить сохранность носителей персональных данных, а также исключить возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
Статьями 10 и 11 Закона N 152-ФЗ установлены специальные категории персональных данных, которые могут обрабатываться только при наличии письменного согласия субъекта таких данных, а также в случаях, прямо предусмотренных законом. К ним относятся:
— сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни;
— биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность)*(3).
Особенности организации обработки персональных данных без средств автоматизации закреплены в Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденном Постановлением Правительства РФ от 15.09.2008 N 687. В частности, в нем определено, что обработка данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места их хранения и установить перечень лиц, осуществляющих такую обработку либо имеющих к ним доступ.
Общие требования по обработке персональных данных работодателем установлены в ст. 86 ТК РФ:
— обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
— все персональные данные работника следует получать у него самого. Если их возможно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Общество с ограниченной ответственностью «Стрелец»

Исх. N 38 Старшему бухгалтеру
от 02.03.2009 Занозиной И.С.

[о запросе персональных данных]
Уважаемая Ирина Сергеевна!
Прошу Вас дать свое согласие на получение ваших персональных данных с предыдущего места работы (ОАО «Строймаш»), а именно результатов проффесиональной аттестации, для рассмотрения вопроса о вашем переводе на должность заместителя главного бухгалтера.

Начальник отдела кадров Малявина /Малявина С.А./

Директору ООО «Стрелец»
Земскову А.И.
от старшего бухгалтера Занозиной И. С.

Заявление.

Я, Занозина Ирина Сергеевна, занимающая должность старшего бухгалтера ООО «Стрелец», даю свое согласие на получение моих персональных данных, а именно: результатов проффесиональной аттестации за 2008 год у начальника отдела кадров ОАО «Строймаш» Мирной Елены Сергеевны (тел. 213-25-69).

/Занозина И.С./ Занозина 10 марта 2009 г

— работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни;
— работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ и иными федеральными законами;
— при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
— защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств;
— работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
— работники не должны отказываться от своих прав на сохранение и защиту тайны.

Передача персональных данных работника

Особенности передачи персональных данных работников установлены ст. 88 ТК РФ. А именно, работодатель должен соблюдать следующие требования:
— не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы его жизни и здоровью;
— не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
— предупредить лиц, получающих персональные данные работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
— осуществлять передачу данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
— разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Положение о персональных данных и их обработке в организации

Порядок обработки, хранения и других процедур по обработке персональных данных работников должен определяться локальным нормативным актом организации. Повторим, что каждый сотрудник организации должен быть ознакомлен с ним под роспись. Для этого в конце положения оставляют несколько чистых листов, так называемых листов ознакомления, которые прошиваются вместе с положением и на последней странице с обратной стороны ставится надпись «Прошито _____ страниц» и заверяется подписью руководителя и печатью организации. Иногда кадровики заводят журнал ознакомления с локальными нормативными актами. На наш взгляд, это не очень удобно: при регистрации ознакомления в таком журнале придется выдавать работнику копию нормативного акта, что потребует дополнительных материальных затрат.
Отдельно нужно сказать о содержании положения о персональных данных. При разработке данного документа необходимо включить в него:
— сведения, относящиеся к персональным данным (например, рекомендации, характеристики, анкета, размер заработной платы и т.д.);
— режим доступа к персональным данным и перечень лиц, имеющих право доступа к такой информации, их права и обязанности (например, определить, что право доступа к персональным данным сотрудника имеют руководитель предприятия, менеджер по персоналу, руководители структурных подразделений (доступ к личным данным только работников своего подразделения) по согласованию с руководителем предприятия);
— права работодателя и работника в области передачи, хранения и обработки персональных данных;
— порядок накопления, систематизации, уточнения, хранения, уничтожения, использования и передачи персональных данных;
— порядок ознакомления работника с его персональными данными, получения копий документов, содержащих такие данные;
— ответственность за нарушение норм по обработке персональных данных.

Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой (ГК РФ), административной (КоАП РФ) и уголовной (УК РФ) ответственности в порядке, установленном федеральными законами, в силу ст. 90 ТК РФ.
Несколько статей КоАП РФ устанавливают административные штрафы за:
— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11);
— использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (п. 2 ст. 13.12);
— нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) (п. 1 ст. 13.12);
— занятие видами деятельности в области защиты информации без получения специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна) (ст. 13.13);
— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14).
Уголовная ответственность предусмотрена ст. 137 УК РФ за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Такие деяния наказываются штрафом до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
С 01.01.2010 наказание за данное преступление будет ужесточено. Суд сможет лишить свободы виновника на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет*(4).
Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации в ЭВМ, системе ЭВМ или их сети, если данное деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети в соответствии со ст. 272 УК РФ наказывается штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо исправительными работами на срок от шести месяцев до года, либо лишением свободы на срок до двух лет.
К дисциплинарной ответственности можно привлечь только тех работников, у которых обязательство по соблюдению правил работы с персональными данными закреплено в трудовом договоре или должностной инструкции. Соответственно работодатель может применить одно из видов дисциплинарных взысканий, установленных ст. 192 ТК РФ, или вовсе расторгнуть трудовой договор по основанию, предусмотренному пп. «в» п. 6 ст. 81 ТК РФ, — разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника.
Статьями 150-152 ГК РФ предусмотрена защита чести, достоинства, деловой репутации, неприкосновенность личной и семейной тайны и других нематериальных благ. Соответственно за моральный вред, причиненный гражданину распространением сведений, порочащих его, суд может взыскать с виновника компенсацию, а также обязать опровергнуть такие сведения в средствах массовой информации.

Т.Ю. Комиссарова,
эксперт журнала «Отдел кадров коммерческой организации»

«Отдел кадров коммерческой организации», N 5, май 2009 г.

————————————————————————
*(1) Принята 10.12.1948 Генеральной Ассамблеей ООН.
*(2) Принята Постановлением ВС РСФСР от 22.11.1991 N 1920-1 «О декларации прав и свобод человека и гражданина».
*(3) Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных утв. Постановлением Правительства РФ от 06.07.2008 N 512.
*(4) Федеральный закон от 22.12.2008 N 272-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с совершенствованием государственного контроля в сфере частной охранной и детективной деятельности».



Поиск вакансий


Кадровое агентство Фаворит