Главная » Страховая » Обработка персональных данных трудовой договор. Персональные данные в трудовом договоре

Обработка персональных данных трудовой договор. Персональные данные в трудовом договоре

В действующий ТК РФ впервые в истории трудового законодательства включена отдельная глава (14) «Защита персональных данных работника», состоящая из шести статей (85-90). Статья 85 ТК РФ формулирует два основных для данной главы понятия: персональные данные работника; обработка персональных данных работника. Персональные данные - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных - получение, хранение, комбинирование, передача или любое другое использование персональных данных работников.

Структурное выделение в Трудовом кодексе РФ персональных данных вызвано необходимостью упорядочения отношении по получению и использованию работодателем информации о работнике личного характера и установления правил защиты этой информации от неправомерного использования. Положения данной главы основываются на Конституции РФ, согласно ст. 23 и 24 которой каждому человеку гарантируется право на неприкосновенность частной жизни, личную и семейную тайну, при этом сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Конституция РФ, в свою очередь, восприняла положения международных актов, согласно которым право на неприкосновенность частной жизни, личную тайну относятся к числу основных прав человека: Всеобщая декларация прав человека 1948 г. (ст. 12), Конвенция о защите прав человека и основных свобод (ст. 8), Международный пакт о гражданских и политических правах 1966 г. (ст. 9), Директива Европейского сообщества № 95/46/ЕС прямо определяет персональные данные как любую информацию, относящуюся к идентифицированному лицу или к лицу, которое может быть идентифицировано. Иными словами, указывается на «информацию об идентифицируемом лице», а не на «идентифицирующую информацию», как в российском Законе 1 Зайцева О.Б. Персональные данные работника и их передача работодателю в связи с трудовыми отношениями // Трудовое право. 2003. № 7. С. 18. .

Следует обратить внимание на то, что определенные сведения о персональных данных работодатель имеет право требовать, а работник обязан их предоставить (ст. 65 ТК РФ; Постановление Госкомстата РФ от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», которым утверждена форма Личной карточки работника). Иные сведения можно получить только с согласия работника, что нередко важно для него самого в целях реализации прав (в том числе на льготы) и интересов; например, о членстве в профсоюзе, инвалидности, беременности. Работодатель не имеет права запрашивать информацию о состоянии здоровья работника за исключением тех сведений, которые относятся к возможности выполнения работником трудовой функции (ст. 88 ТК РФ).

Общие требования к обработке персональных данных и гарантии их защиты закреплены в ст. 86 ТК РФ. Согласно ст. 87 ТК РФ защита персональных данных от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ или иными федеральными законами.

Порядок хранения и использования персональных данных работников устанавливается самим работодателем с соблюдением требовании Трудового кодекса РФ и иных федеральных законов.

Защита персональных данных предусмотрена законом как на стадии их получения (п. 8 ст. 86 ТК РФ), так и на стадии передачи (ст. 88 ТК РФ), хранения и использования (ст. 89 ТК РФ).

Работники, которым в установленном законом порядке переданы сведения о персональных данных работника, обязаны не допускать их разглашения. В случае нарушения этого правила, когда сведения, составляющие врачебную, семейную и другую тайну, становятся достоянием других лиц, виновные несут за это ответственность.

В советском трудовом законодательстве правовой регламентации подвергались отдельные аспекты защиты персональных данных работника. «Институт защиты персональных данных работника в ТК РФ был в значительной степени рецептирован из западного законодательства. Другой причиной, вызвавшей появление в ТК РФ гл. 14 «Защита персональных данных работника», стало изменение стратегического подхода к правам человека на уровне Конституции РФ, которая провозгласила права и свободы человека высшей ценностью, а признание, соблюдение и защиту прав человека и гражданина - обязанностью государства (ст. 2). «Этому способствовало и то, что с середины 90-х гг. XX в., как уже отмечалось, начала формироваться комплексная отрасль законодательства «информационное право», одним из основных направлений которой стала защита персональной тайны» 2 Лушников A.M. Защита персональных данных работника: сравнительно-правовой комментарий гл. 14 Трудового кодекса РФ // Трудовое право. 2009. № 9. С. 93-101; № 10. С. 77-82. .

Действующий Трудовой кодекс, как считают некоторые авторы, «с одной стороны, содержит требование уважать неприкосновенность личной сферы работника, но, с другой стороны, не содержит и запрет работодателю тотально "мониторить" работника» 3 Киселев А.В. Трудовой кодекс России в свете европейской Конвенции о защите прав человека и основных свобод. Подготовлен для системы «КонсультантПлюс» по состоянию на 1 ноября 2010 г. .

К числу нормативных актов, входящих в правовую базу регламентации отношении по защите персональных данных работника, относятся также Федеральный закон РФ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации», Налоговый кодекс РФ (ст. 24), Федеральный закон РФ от 27 июля 2006 г. «О персональных данных». Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 6 марта 1997 г., и другие нормативные правовые акты, касающиеся отдельных категорий работников, например. Федеральный закон о государственной гражданской службе Российской Федерации от 27 июля 2004 г.

Между работником и работодателем складывается особое правоотношение в рамках единого трудового правоотношения по поводу информации, содержащей персональные данные работника, позволяющие идентифицировать его в качестве такового. Отсюда следует, что работодатель имеет не только обязанности, о которых говорилось выше, но и право на получение определенной информации о работнике, объем которой предусмотрен федеральным законодательством, указами Президента РФ, постановлениями Правительства РФ. Соответственно, у работника возникает обязанность представить такую информацию, которая должна быть полной и достоверной. Согласно ТК РФ (ст. 86) порядок обработки персональных данных, а также права и обязанности работников регламентируются локальными нормативными актами. Развивая эту мысль, выскажем следующие соображения.

Информационное отношение «встроено» в трудовое как его элементарная часть, потому что между работником и работодателем существуют как отношения по персональным данным работника, так и отношения, связанные с государственной, служебной, коммерческой тайной, которые могут составлять основное содержание трудовой функции. Что касается информационных отношений как самостоятельного вида отношений, связанных с трудовыми (наряду с отношениями по трудоустройству у данного работодателя, социальному партнерству и др.), то в пользу такой идеи говорит элементарный анализ состава этого правоотношения.

На уровне Федерального закона «О персональных данных» и в целях его применения впервые в отечественной практике определены следующие основные понятия:

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания 4 Богатыренко З.С. Новейшие тенденции защиты персональных данных работник в российском трудовом праве // Трудовое право. 2006. № 10. .

Федеральным законом «О персональных данных» регулируются отношения, связанные с их обработкой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без их использования, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Права граждан в области информации защищены Федеральными законами: ст. 81 ТК РФ, 237 УК РФ, 495, 498, 726, 732, 774, 804, 840, 853, 1031, 1032 и другими ГК РФ, регламентирующими вопросы предоставления различной информации покупателю о товаре. Кроме вопросов предоставления информации, ГК РФ регулирует отношения, связанные с конфиденциальностью информации, отношения по поводу возмещения вреда, причиненного вследствие недостоверной или недостаточной информации о товаре (работе, услуге) в случаях приобретения товара (выполнения работы, оказания услуги) в потребительских целях и возмещением убытков, вызванных разглашением служебной или коммерческой тайны.

Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», как выше уже говорилось, к основным обязанностям гражданского служащего отнесено требование не разглашать сведения, составляющие государственную или иную охраняемую федеральным законом тайну, а также сведения, ставшие ему известными в связи с исполнением должностных обязанностей, в том числе сведения, касающиеся частной жизни и здоровья граждан или затрагивающие их честь и достоинство (ст. 15).

Квалификационный справочник должностей руководителей, специалистов и других служащих (КСДС), разработанный Институтом труда и утвержденный постановлением Минтруда РФ от 21 августа 1998 г. № 37 (действующий с дополнениями и изменениями в ред. от 14.03.201 1), предусматривает, во-первых, что этот нормативный акт предназначен для решения вопросов, связанных с регулированием трудовых отношений, обеспечением эффективной системы управления персоналом организаций независимо от форм собственности и организационно-правовых форм деятельности. Во-вторых, предусмотрена регламентация трудовых функций специалистов, непосредственно связанных с использованием персональных данных работников или выполнением работ на их основе. К таким должностям относятся: заместитель директора но управлению персоналом, начальник отдела кадров, менеджер по персоналу, главный специалист по защите информации и др. 5 Бюллетень Минтруда РФ. 1998. № 12; Квалификационный справочник должностей руководителей, специалистов и других служащих. Изд-е офиц. 4-е изд., доп. М.: Инст. Труда, 2005. Данные положения имеют значение для рассматриваемого вопроса, поскольку права и обязанности по сохранению конфиденциальной информации могут входить в содержание трудовой функции.

Обработка персональных данных должна осуществляться на основе принципов:

законности целей и способов обработки персональных данных и добросовестности;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой баз данных информации.

Согласие на обработку персональных данных — относительное нововведение законодательства, обеспечивающее защиту личной информации о человеке от неправомерного использования. Согласие на обработку персональных данных требуется при трудоустройстве, открытии банковского счета и во многих других жизненных ситуациях. Основания и последствия дачи такого согласия, отказа от его предоставления или отзыва изложены в настоящей статье.

Что является персональными данными

Понятие персональных данных дается в ст. 3 одноименного закона № 152-ФЗ от 27.07.2006. Это все сведения, относящиеся к человеку, то есть к физическому лицу. Иными словами, персональными данными можно считать абсолютно любую информацию — от имени до содержания трудовой книжки.

Однако, несмотря на то, что на обработку (то есть изучение, хранение, передачу и т. д.) таких сведений необходимо согласие их носителя, далеко не все из них требуют соблюдения конфиденциальности.

Закон «О персональных данных» делит их на 3 категории:

общедоступные — основные анкетные данные (имя, отчество, фамилия, гендерная принадлежность, дата рождения и т. д.);
биометрические — внешние данные и некоторые физиологические особенности (последние — при условии их визуального определения);
специальные — национальность, вероисповедание, сведения о состоянии здоровья, а также данные о взаимоотношениях с законом (судимость, привлечение к ответственности), частично — информация в сфере занятости (причины увольнения и т. д.).

огласие на обработку персональныхданных требуется от их носителя только при использовании второй и третьей категорий, то есть специальных и биометрических. Общедоступная информация может использоваться свободно в рамках закона, а также в соответствии с общепринятыми канонами морали и этики.

Исключение — обработка информации в рамках уголовного дела, в ходе оперативно-розыскной деятельности, в целях установления личности при отсутствии документов (в основном касается биометрических данных) и в прочих подобных ситуациях.

В таких ситуациях согласия на обработку персональных данных не требуется.

Защита персональных данных работника

Принимая сотрудника на работу, работодатель, в соответствии со ст. 65 Трудового кодекса РФ, требует от него ряд документов, а именно:

паспорт;
диплом или другой документ, подтверждающий наличие образования или квалификации;
трудовую книжку (исключение — первичное трудоустройство);
СНИЛС;
военный билет (обязательно для мужчин, для женщин — в случае постановки на воинский учет).

Если должность, на которую претендует соискатель, не предполагает ее замещения гражданином, имеющим судимость, может потребоваться еще и соответствующая справка.

Все эти документы содержат персональные данные о будущем или настоящем сотруднике. Поэтому, как только они оказываются в руках работодателя, в действие вступают положения гл. 14 ТК РФ, обеспечивающие конфиденциальность личной информации.

В частности, ст. 86 ТК РФ дает руководителям согласие на обработку персональных данных работника только в служебных целях, которыми могут являться:

Не знаете свои права?

оказание содействия в продвижении сотрудника по карьерной лестнице или получении им образования;
обеспечение безопасности подчиненных;
контроль за эффективностью труда работников.

Согласно п. 8 ст. 65 ТК РФ работодатель должен под роспись довести до работника, каким образом и в каком порядке будут храниться, обрабатываться и использоваться предоставленные им сведения. Согласие на обработку персональных данных при приеме документов от работника нужно обязательно, при этом работник предупреждается о возможности отказаться либо в дальнейшем представить отзыв согласия на обработку персональных данных, а также о последствиях этого.

Последствия отказа от дачи согласия на обработку персональных данных

Сам по себе отказ от согласия на обработку персональных данных юридических последствий не несет — в силу ч. 1 ст. 9 закона № 152-ФЗ согласие должно быть выражено добровольно и свободно.

Однако ч. 5 ст. 6 этого же закона допускает отсутствие согласия на обработку персональных данных, если это необходимо в целях исполнения договора, в том числе и трудового. Иными словами, работодатель, исполняя свои обязанности, возложенные на него законом, может в интересах работника — субъекта персональных данных обработать эти сведения без его согласия (при условии использования данных исключительно в служебных целях).

Положение ч. 5 ст. 6 закона № 152-ФЗ распространяется на уже действующих сотрудников, то есть принять соискателя на работу без его согласия на обработку персональных данных работодатель не сможет — трудового договора еще нет, соответственно, и обязанности его исполнять у руководителя тоже нет.

Кроме того, в ряде случаев отказ от согласия на обработку персональных данных всё же может привести к нежелательному результату. Например, если в организации действует пропускной режим, то выписать (заменить) сотруднику пропуск при таких обстоятельствах работодатель не сможет — это действие выходит за рамки служебных целей. Таким образом, отсутствие согласия здесь означает невозможность исполнения трудовых функций.

Ответственность за разглашение персональных данных

В силу ст. 90 ТК РФ ответственность работодателя за разглашение персональных данных варьируется от дисциплинарной до уголовной. То есть любое нарушение конфиденциальности личной информации о работнике, будь то передача сведений или неправомерное их использование, обойдется для виновного весьма суровым наказанием.

Например, в соответствии со ст. 137 Уголовного кодекса РФ, подобные действия могут стоить руководителю должности или даже свободы на срок до 2 лет.

Таким образом, законодательство содержит все необходимые инструменты для того, чтобы работники могли не опасаться за разглашение информации о себе.

Однако, прежде чем ставить подпись в форме согласия на обработку персональных данных, имеет смысл выяснить, не выходят ли запрашиваемые сведения за рамки необходимых для трудоустройства или кадровых перестановок.

Например, сведения о наличии или отсутствии судимости требуются только в тех случаях, когда это нужно для соответствия занимаемой должности. То есть, устраиваясь на работу менеджером по продажам, такие данные предоставлять не нужно. Соответственно, и согласие на обработку персональных данных такого характера тоже предоставлять не следует.

Уведомление об обработке персональных данных

Ст. 22 закона № 152-ФЗ обязывает работодателя вначале направить уведомление об обработке персональных данных в специализированный орган, которым является Роскомнадзор. Уточнить, выполнил ли руководитель это условие, можно на официальном интернет-портале службы.

Кроме того, перед тем как дать согласие на обработку персональных данных, будет нелишним удостовериться в том, что работодатель имеет на это право, то есть является оператором. В этом тоже поможет сайт Роскомнадзора.

Отзыв согласия на обработку персональных данных

Отзывать согласие на обработку персональных данных имеет смысл в 2 случаях:

при выявлении со стороны работодателя нарушения в части хранения и обеспечения конфиденциальности информации о сотруднике;
при увольнении.

Отзыв составляется в свободной форме, но при его оформлении стоит сослаться на 2 нормы закона № 152-ФЗ: п. 1 ст. 9, устанавливающий добровольность дачи согласия на обработку персональных данных, и п. 5 ст. 22, регламентирующий обязанность оператора (в данном случае — работодателя) прекратить обработку и уничтожить всю имеющуюся у него информацию о сотруднике.

Работодатель должен уничтожить все сведения в течение 30 дней с того момента, как работник отозвал свое согласие на обработку персональных данных.

Конфиденциальная информация в трудовых отношениях Иванов Дмитрий Викторович

2.2. Персональные данные в трудовом договоре

В действующий ТК РФ впервые в истории трудового законодательства включена отдельная глава (14) «Защита персональных данных работника», состоящая из шести статей (85–90). Статья 85 ТК РФ формулирует два основных для данной главы понятия: персональные данные работника; обработка персональных данных работника. Персональные данные – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных – получение, хранение, комбинирование, передача или любое другое использование персональных данных работников.

Структурное выделение в Трудовом кодексе РФ персональных данных вызвано необходимостью упорядочения отношений по получению и использованию работодателем информации о работнике личного характера и установления правил защиты этой информации от неправомерного использования. Положения данной главы основываются на Конституции РФ, согласно ст. 23 и 24 которой каждому человеку гарантируется право на неприкосновенность частной жизни, личную и семейную тайну, при этом сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Конституция РФ, в свою очередь, восприняла положения международных актов, согласно которым право на неприкосновенность частной жизни, личную тайну относятся к числу основных прав человека: Всеобщая декларация прав человека 1948 г. (ст. 12), Конвенция о защите прав человека и основных свобод (ст. 8), Международный пакт о гражданских и политических правах 1966 г. (ст. 9), Директива Европейского сообщества № 95/46/ЕС прямо определяет персональные данные как любую информацию, относящуюся к идентифицированному лицу или к лицу, которое может быть идентифицировано. Иными словами, указывается на «информацию об идентифицируемом лице», а не на «идентифицирующую информацию», как в российском Законе.

Порядок хранения и использования персональных данных работников устанавливается самим работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов.

В советском трудовом законодательстве правовой регламентации подвергались отдельные аспекты защиты персональных данных работника. «Институт защиты персональных данных работника в ТК РФ был в значительной степени рецептирован из западного законодательства. Другой причиной, вызвавшей появление в ТК РФ гл. 14 «Защита персональных данных работника», стало изменение стратегического подхода к правам человека на уровне Конституции РФ, которая провозгласила права и свободы человека высшей ценностью, а признание, соблюдение и защиту прав человека и гражданина – обязанностью государства (ст. 2). «Этому способствовало и то, что с середины 90-х гг. XX в., как уже отмечалось, начала формироваться комплексная отрасль законодательства «информационное право», одним из основных направлений которой стала защита персональной тайны». Действующий Трудовой кодекс, как считают некоторые авторы, «с одной стороны, содержит требование уважать неприкосновенность личной сферы работника, но, с другой стороны, не содержит и запрет работодателю тотально «мониторить» работника».

К числу нормативных актов, входящих в правовую базу регламентации отношений по защите персональных данных работника, относятся также Федеральный закон РФ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации», Налоговый кодекс РФ (ст. 24), Федеральный закон РФ от 27 июля 2006 г. «О персональных данных», Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 6 марта 1997 г., и другие нормативные правовые акты, касающиеся отдельных категорий работников, например, Федеральный закон о государственной гражданской службе Российской Федерации от 27 июля 2004 г.

Действительно, с развитием соответствующего законодательства отношения в сфере конфиденциальной информации все более приобретают некий обособленный, самостоятельный и, как представляется, межотраслевой характер. Имея в виду, прежде всего и главным образом, трудовое право, нельзя не заметить, что применительно к его сложному и неоднородному предмету, эти так называемые информационные отношения могут входить в состав как индивидуального трудового правоотношения (уместно вспомнить характерное название ст. 5 Закона «Об информации…»: «Информация как объект правовых отношений»), так и, очевидно, быть самостоятельным видом отношений, связанных с ним. Информационное отношение «встроено» в трудовое как его элементарная часть, потому что между работником и работодателем существуют как отношения по персональным данным работника, так и отношения, связанные с государственной, служебной, коммерческой тайной, которые могут составлять основное содержание трудовой функции. Что касается информационных отношений как самостоятельного вида отношений, связанных с трудовыми (наряду с отношениями по трудоустройству у данного работодателя, социальному партнерству и др.), то в пользу такой идеи говорит элементарный анализ состава этого правоотношения.

– персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

– оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

– обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

– распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

– использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

– информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

– конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Квалификационный справочник должностей руководителей, специалистов и других служащих (КСДС), разработанный Институтом труда и утвержденный постановлением Минтруда РФ от 21 августа 1998 г. № 37 (действующий с дополнениями и изменениями в ред. от 14.03.2011), предусматривает, во-первых, что этот нормативный акт предназначен для решения вопросов, связанных с регулированием трудовых отношений, обеспечением эффективной системы управления персоналом организаций независимо от форм собственности и организационно-правовых форм деятельности. Во-вторых, предусмотрена регламентация трудовых функций специалистов, непосредственно связанных с использованием персональных данных работников или выполнением работ на их основе. К таким должностям относятся: заместитель директора по управлению персоналом, начальник отдела кадров, менеджер по персоналу, главный специалист по защите информации и др. Данные положения имеют значение для рассматриваемого вопроса, поскольку права и обязанности по сохранению конфиденциальной информации могут входить в содержание трудовой функции.

Обработка персональных данных должна осуществляться на основе принципов:

– законности целей и способов обработки персональных данных и добросовестности;

– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

– недопустимости объединения созданных для несовместимых между собой баз данных информации.

Из книги Договорное право. Книга первая. Общие положения автора Брагинский Михаил Исаакович

1. Понятия о договоре Применение договоров на протяжении уже нескольких тысяч лет объясняется помимо прочего тем, что речь идет о гибкой правовой форме, в которую могут облекаться различные по характеру общественные отношения. Основное назначение договора сводится к

Из книги Гражданский кодекс РФ. Часть вторая автора Законы РФ

Статья 759. Исходные данные для выполнения проектных и изыскательских работ 1. По договору подряда на выполнение проектных и изыскательских работ заказчик обязан передать подрядчику задание на проектирование, а также иные исходные данные, необходимые для составления

Из книги Гражданский кодекс Российской Федерации. Части первая, вторая, третья и четвертая. Текст с изменениями и дополнениями на 10 мая 2009 года автора Коллектив авторов

Из книги Права пациентов на бумаге и в жизни автора Саверский Александр Владимирович

4. Данные о защите прав пациентов Согласно упоминавшейся справке ФФОМС по итогам 2006 г. «из 70 300 обоснованных жалоб, признанных таковыми и разрешенных в досудебном порядке, 65,9 % случаев рассмотрено СМО (46345) и удовлетворено 63 258 обращений (90 %), в т. ч. 15 644 с материальным

Из книги Трудовой кодекс Российской Федерации. Текст с изменениями и дополнениями на 1 октября 2009 г. автора Автор неизвестен

Из книги Гражданский кодекс Российской Федерации. Части первая, вторая, третья и четвертая. Текст с изменениями и дополнениями на 1 ноября 2009 г. автора Автор неизвестен

Из книги Федеральный закон «О государственной гражданской службе Российской Федерации». Текст с изменениями и дополнениями на 2009 год автора Автор неизвестен

Глава 7. ПЕРСОНАЛЬНЫЕ ДАННЫЕ ГРАЖДАНСКОГО СЛУЖАЩЕГО. КАДРОВАЯ СЛУЖБА ГОСУДАРСТВЕННОГО ОРГАНА Статья 42. Персональные данные гражданского служащего и ведение личного дела гражданского служащего 1. При обработке, хранении и передаче персональных данных гражданского

Из книги Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных" автора Петров Михаил Игоревич

Статья 42. Персональные данные гражданского служащего и ведение личного дела гражданского служащего 1. При обработке, хранении и передаче персональных данных гражданского служащего кадровая служба государственного органа обязана соблюдать следующие

Из книги Трудовой кодекс Российской Федерации. Текст с изменениями и дополнениями на 10 сентября 2010 г. автора Коллектив авторов

Статья 11. Биометрические персональные данные Комментарий к статье 111. Физиологические особенности человека являются одной из форм выражения личности, свойствами ее проявления вовне, по отражению которых можно идентифицировать субъекта. Признание физиологических

Из книги Шпаргалка по информационному праву автора Якубенко Нина Олеговна

Статья 404. Рассмотрение коллективного трудового спора в трудовом арбитраже Трудовой арбитраж представляет собой временно действующий орган по рассмотрению коллективного трудового спора, который создается в случае, если стороны этого спора заключили соглашение в

Из книги Гражданский кодекс Российской Федерации. Части первая, вторая, третья и четвертая. Текст с изменениями и дополнениями на 21 октября 2011 года автора Коллектив авторов

55. ПЕРСОНАЛЬНЫЕ ДАННЫЕ В мире и в Европе отношения, связанные с обращением персональных данных, регулируются достаточно давно. Актуальность и своевременность принятия законов, регулирующих отношения в области защиты персональных данных, подтверждается зарубежным

Из книги Гражданский кодекс РФ автора ГАРАНТ

СТАТЬЯ 759. Исходные данные для выполнения проектных и изыскательских работ 1. По договору подряда на выполнение проектных и изыскательских работ заказчик обязан передать подрядчику задание на проектирование, а также иные исходные данные, необходимые для составления

Из книги Римское право. Шпаргалки автора Смирнов Павел Юрьевич

Из книги Правоведение автора Мардалиев Р. Т.

72. Волеизъявление в договоре Наличие сторон в договоре предполагает, что на предмет договора они имеют разные точки зрения или находятся в конфликте, вследствие чего им приходится заключать соглашение и прописывать права и обязанности. Существование договора

Из книги Конфиденциальная информация в трудовых отношениях автора Иванов Дмитрий Викторович

5.1. Общие положения о трудовом праве РФ Понятие трудового права. Основные источники трудового права РФ Трудовое право – это отрасль права, нормы которой регулируют отношения между людьми в процессе их совместной трудовой деятельности.Трудовые правоотношения не следует

Из книги автора

Глава 2 Конфиденциальная информация в трудовом

Ответим на вопрос, что относится к персональным данным работника организации. Согласно ст. 3 , персональные данные работника это любые сведения о нем.

Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

Судебная практика

При проведении проверки соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании незаконным данного предписания Роскомнадзора.

Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ . (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013)

Образец заявления на обработку персональных данных работника

В соответствии с п. 1 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка фирмой-работодателем таких данных может производиться только при соблюдении ряда условий. В числе таковых — согласие субъекта персональных данных на передачу сведений о себе в обработку (подп. 1 п. 1 ст. 6 закона № 152-ФЗ). Оно оформляется в виде согласия на обработку персональных данных. Кроме того, гражданин может дать согласие оператору на предоставление его сведений третьим лицам.

Физическое лицо вправе отозвать свое согласие, для этого составляется заявление об отзыве.

В соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным , срок хранения персональных данных работника составляет 75 лет.

Обработка персональных данных

В организации необходимо разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки информации о работниках. Каждый сотрудник должен быть ознакомлен с этим документом под роспись.

Судебная практика

Прокурор обратился в суд с иском о понуждении организации к разработке и принятию локального правового акта, устанавливающего порядок хранения и использования персональных данных работников. Свои требования мотивировал тем, что в ходе проверки исполнения законодательства, регламентирующего сбор, хранение, использование или распространение персональных данных, было установлено, что в нарушение требований трудового законодательства порядок хранения и использования персональных данных работников в организации не разработан. Полагал, что отсутствие данного локальный нормативного акта может привести к неправомерному доступу к персональным данным не уполномоченных на то лиц.

Решением суда требование прокурора было удовлетворено. Суд обязал организацию разработать и принять локальный правовой акт, устанавливающий порядок хранения и использования персональных данных работников в течение 30 дней с момента вступления решения суда в законную силу.

Передача персональных данных работника другому лицу допускается только с согласия этого работника, за исключением случаев, установленных законом. Так, например, работодатель вправе передавать сведения о работнике по официальным запросам суда, прокуратуры, органов следствия и дознания.

Обратите внимание, что сообщать какую-либо информацию о сотруднике по телефону недопустимо.

Судебная практика

Д. обратился в суд с иском о признании незаконным передачи работодателем его персональных данных другому лицу, взыскании морального вреда.

В судебном заседании было установлено, что организация, в которой работал Д., заключила договор с банком для реализации зарплатного проекта. Для выпуска пластиковых карт банку были переданы заполненные и подписанные работниками анкеты-заявления с их личными данными. Анкета-заявление Д. им подписана не была, согласие на передачу своих персональных данных он не давал.

Исковые требования судом были удовлетворены, несмотря на то, что полученной пластиковой карточкой Д. активно пользовался.

Когда за разглашение информации могут уволить

Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Об этом прямо указано в п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ . К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных. Однако если работник узнал данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации) и в его должностные обязанности не входит работа с личными сведениями, увольнение по данному основанию будет являться незаконным.

Увольнение по этому основанию является мерой дисциплинарного воздействия, поэтому при его осуществлении следует соблюдать порядок наложения дисциплинарного взыскания, предусмотренный ст.193 ТК РФ .

В случае оспаривания работником увольнения по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые трудящийся разгласил, относятся к личным данным другого сотрудника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей, и он обязывался не разглашать такие сведения (п.43 Постановления Пленума ВС РФ «О применении судами РФ Трудового кодекса РФ»).

Судебная практика

Н. обратился в суд с иском о признании увольнении незаконным, возмещении морального вреда.

В судебном заседании было установлено, что Н. работал электромонтером и был вызван в отдел кадров для устранения порыва телефонного кабеля. Во время починки кабеля он успел прочитать соглашение об увольнении работника М. с выплатой значительной денежной компенсации, которое кадровик оставила без присмотра на своем рабочем столе. На следующий день Н. обратился к директору, заявив, что он тоже хочет уволиться по соглашению сторон с такой же денежной компенсацией. А получив отказ, обиделся и стал рассказывать об этой ситуации другим работникам. В результате приказом директора Н. был уволен по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных другого работника.

Решением суда исковые требования Н. были удовлетворены. Суд пришел к выводу, что в трудовые обязанности Н. работа с личными данными других сотрудников не входила, и данные сведения стали ему известны в результате халатности кадровика, который не обеспечил сохранность информации.

Заключая трудовые договоры с работниками, и даже еще раньше – при осуществлении подбора сотрудников – работодатель обрабатывает персональные данные (ПД).
Работодатель является оператором персональных данных, а значит должен учитывать множество вопросов и даже нюансов, связанных с обработкой и защитой персональных данных, которые имеют важное значение.

1. Каковы законодательные требования к обработке ПД, которые необходимо учитывать работодателю?

Начать следует с международно-правовых норм.

Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28.01.1981) (далее – Конвенция), которая вступила в силу для нашей страны с 1 сентября 2013 года.

Статья 24 Конституции Российской Федерации устанавливает запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), являющийся основным законодательным актом в этой сфере правового регулирования, базируется на тех же, что и Конвенция, основных принципах. Однако имеет свои особенности, например, устанавливает нашумевшую и широко обсуждавшуюся в СМИ в прошлом году обязанность оператора осуществлять хранение персональных данных российских граждан на территории РФ.

Глава 14 ТК РФ конкретизирует особенности защиты персональных данных применительно к работникам.

Следует также учитывать и применять действующие нормативные правовые акты в сфере обработки персональных данных, например, постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другие.

2. Какая ответственность может грозить работодателю за нарушения в сфере обработки ПД?

Статья 13.11 КоАП РФ в настоящий момент содержит всего один общий состав, предусматривающий одинаковую ответственность за любое нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Размер штрафа для юридических лиц может колебаться от 5000 до 10 000 рублей.

Данное наказание является малозначительным, давно не соответствует тяжести административного правонарушения и не обеспечивает превентивной функции, что в итоге приводит к массовому игнорированию требований действующего законодательства и к нарушениям в процессе их обработки.

Однако уже с 1 июля 2017 года ситуация изменится: в КоАП РФ внесены соответствующие изменения, благодаря которым в ст. 13.11 появятся новые составы административных правонарушений, а также увеличится размер штрафа.

В отдельные составы правонарушения будут выделены обработка ПД в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора персональных данных (ч. 1 ст. 13.11 КоАП РФ3). Должностное лицо будет оштрафовано по этой норме на сумму от 5000 до 10 000 рублей, а организация – от 30 000 до 50 000 рублей.

Самостоятельный состав будет образовывать обработка ПД без письменного согласия их субъекта (работника), либо обработка ПД с нарушением требований к составу сведений, включаемых в письменное согласие (ч. 2 ст. 13.11 КоАП РФ). Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации – от 15 000 до 75 000 рублей.

Оператора ПД (работодателя) теперь накажут также за невыполнение обязанности по предоставлению субъекту ПД информации, касающейся их обработки (ч. 4 ст. 13.11 КоАП РФ). Ответственный сотрудник может быть оштрафован за такое нарушение на сумму от 4000 до 6000 рублей, индивидуальный предприниматель как работодатель – от 10 000 до 15 000 рублей, организация – от 20 000 до 40 000 рублей.

Ответственность наступит и если оператор нарушит требования работника об уточнении ПД, их блокировании или уничтожении в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 5 ст. 13.11 КоАП РФ). Должностное лицо может быть оштрафовано на сумму от 4000 до 10 000 рублей, индивидуальный предприниматель – от 10 000 до 20 000 рублей, юридическое лицо – от 25 000 до 45 000 рублей.

Остальные появившиеся составы административного правонарушения работодателей коснуться не должны. Как видите, максимальный размер штрафа для юридических лиц предусмотрен ч. 2 ст. 13.11 КоАП РФ и может составить до 75 000 рублей. А учитывая последнюю практику проверяющих органов, когда за каждое выявленное в ходе одной проверки нарушение налагается отдельный штраф, – общая сумма наказания может быть довольно существенной.

3. Является ли наличие специального положения о работе с ПД обязательным для работодателя?

Пункт 8 ч. 1 ст. 86 ТК РФ устанавливает, что работники и их представители должны быть ознакомлены под личную подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Таким образом, законодатель устанавливает обязательность наличия такого документа.

Указанные вопросы возможно включить отдельным разделом в ПВТР. Допустимо также составление отдельного документа с любым названием, соответствующим документообороту организации. Это могут быть регламент, положение, правила. Каждый из этих документов будет локальным нормативным актом (ЛНА).

4. На что следует обратить внимание при разработке ЛНА, регламентирующего обработку персональных данных?

Таких вопросов много, поэтому трудно было бы выделить только один или два аспекта, необходимо подробно остановиться на содержании документа и его обязательных частях (разделах).

Во-первых , в самом тексте документа необходимо указать, что это локальный нормативный акт. Это означает, что работодатель должен учитывать требования, установленные ст. 8 ТК РФ, и не забывать, что нормы ЛНА не могут ухудшать положение работника по сравнению с нормами действующих законодательных и иных нормативных правовых актов, о которых мы говорили выше.

Во-вторых , необходимо указать, что работодатель обрабатывает не только персональные данные работников, но также персональные данные соискателей, в случае если формирует так называемый кадровый резерв, включающий резюме понравившихся соискателей, посетивших собеседование, но по каким-то причинам не ставших работниками.

Необходимо также указать, что работодатель продолжает осуществлять обработку (хранение) персональных данных работников и после их увольнения в течение установленного архивного срока хранения.

В-третьих , необходимо обязательно ознакомить всех работников организации, включая временных, работающих по совместительству, заключивших ученический договор, с документом, регламентирующим обработку ПД, под подпись. Целесообразно включить листы ознакомления в состав документа, а сам текст ЛНА прошить, пронумеровать, на сшивке (склейке) скрепить подписью руководителя организации и печатью.

В-четвертых , необходимо грамотно сформулировать согласие на обработку персональных данных, текст которого будет зависеть от целей их обработки.

5. Какие персональные данные может обрабатывать работодатель?

Работодатель не только может, но и должен осуществлять обработку персональных данных, так как обязан вести кадровую документацию, а также осуществлять хранение, иногда сроком 75 лет, определенной номенклатуры кадровых документов.

Примерный состав персональных данных работника может включать:

фамилию, имя, отчество;
год, месяц, дату и место рождения;
адрес места жительства;
номер домашнего и сотового (мобильного) телефона;
сведения, содержащиеся в документах, предъявляемых при заключении трудового договора, к которым относятся, в частности: паспорт или иной документ, удостоверяющий личность, трудовая книжка, страховое свидетельство государственного пенсионного страхования, ИНН, документы об образовании и (или) квалификации или о наличии специальных знаний;
сведения, содержащиеся в документах воинского учета;
сведения, содержащиеся в документах о составе семьи, необходимых для предоставления работнику гарантий, связанных с выполнением семейных обязательств (например, для оплаты времени нетрудоспособности по листку временной нетрудоспособности, выданному работнику в связи с осуществлением ухода за больным членом семьи);
сведения, содержащиеся в документах, подтверждающих право работника на получение социальных льгот и/или подтверждающих право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (например, гарантии и компенсации участникам ликвидации аварии на Чернобыльской АЭС и т.п.);
сведения о предыдущем месте работы (например, при представлении работником справки 2-НДФЛ или аналогичных документов, необходимых для исчисления среднего заработка работника при оплате времени нетрудоспособности);
сведения о трудовом (страховом) и общем стаже работника;
занимаемую работником должность;
сведения о работнике, содержащиеся в документах кадрового учета, включая приказы, а также в личной карточке;
сведения об обучении работника, а также о пройденном повышении квалификации, переподготовке, аттестации, о результатах служебных проверок и расследований, проводимых работодателем;
сведения о привлечении работника к материальной ответственности;
сведения о состоянии здоровья работника, в том числе результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования (если это является необходимым для осуществления работником трудовых обязанностей);
фотографию и иные сведения, относящиеся к биометрическим данным работника.

6. Как работодатель вправе осуществлять получение ПД работника?

Все ПД работника следует получать у него самого, причем с его письменного согласия. Обратите внимание: равнозначным содержащему собственноручную подпись письменному согласию работника на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой. Второй вариант подойдет, например, для заключения трудового договора с дистанционным работником, территориально удаленным от места нахождения работодателя.

Бывают случаи, когда ПД сотрудника можно получить только у третьей стороны. Тогда он должен быть уведомлен об этом заранее и от него должно быть получено на это письменное согласие.

Работодателю следует сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению данных (например, оформление запроса на прежнее место работы работника в целях выяснения его профессиональных качеств и т.п.) и последствиях отказа работника дать письменное согласие на их получение.

Статья 65 ТК РФ устанавливает, что лицо, поступающее на работу, предъявляет работодателю определенный комплект документов. Они содержат определенные ПД работника, но не все, которые могут потребоваться в процессе реализации трудовых прав.

Например, в выше упомянутом комплекте документов отсутствуют справки о заработной плате за последние 24 месяца, предшествующие дате трудоустройства. Работник вправе не представлять данные документы, так как ст. 65 ТК РФ прямо запрещает требовать от лица, поступающего на работу, документы помимо предусмотренных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.

Однако, если работник рассчитывает на то, что исчисление сохраняемого за ним среднего заработка в период временной нетрудоспособности будет осуществлено с учетом предыдущего заработка, то он представит соответствующие документы. При их отсутствии размер пособия по временной нетрудоспособности в первые два года с момента трудоустройства будет очень низким.

7. Какие персональные данные работодатель не имеет права обрабатывать?

Работодатель не имеет права получать и обрабатывать ПД работника о его политических, религиозных и иных убеждениях и частной жизни, а также об участии работника в общественных объединениях. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель теоретически вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Однако нам не удалось смоделировать ситуацию, в которой работодатель будет вправе обрабатывать такие персональные данные в связи с трудовыми правоотношениями.

8. Какие меры защиты ПД работодатель должен принимать?

Работодатель при обработке ПД работника обязан принимать необходимые правовые, организационные и технические меры для защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. В частности, рекомендуется ограничить круг лиц, которым предоставляется доступ к ПД работника в связи с исполнением их трудовых обязанностей.

В частности, такой доступ будет явно необходим сотрудникам отдела кадров, бухгалтерам, осуществляющим начисление и выплату заработной платы, непосредственному руководителю, специалисту по охране труда и некоторым другим. Перечень таких лиц, предпочтительно с указанием объема ПД, доступ к которым предоставляется, должен стать частью положения об обработке ПД или отдельным приложением к нему.

При получении сведений, составляющих ПД работника, указанные лица должны иметь право получать только те данные, которые необходимы для выполнения конкретных функций и заданий. Лица, получающие доступ к любым ПД сотрудников, обязаны соблюдать режим секретности (конфиденциальности). Это означает запрет на копирование такой информации, ее несанкционированную передачу, иное распространение или разглашение любым третьим лицам, а также совершение иных незаконных действий.

В трудовые договоры с такими сотрудниками целесообразно включить условие о недопустимости разглашения ПД как вовне, так и внутри организации лицам, не включенным в число имеющих доступ к персональным данным работников. Чаще всего совокупность ПД сотрудников образует базу данных, которая также нуждается в том, чтобы работодатель предпринимал меры по обеспечению ее сохранности.

Работодатель должен также регламентировать правила хранения ПД работников на различных видах носителей. Рекомендуем предусмотреть хранение документов, содержащих ПД работников, на бумажных носителях в помещениях отдела кадров и бухгалтерии. Особые требования предъявляются в отношении хранения трудовых книжек и личных карточек. Личные дела, личные карточки работников и их трудовые книжки необходимо хранить в специально оборудованных несгораемых шкафах или сейфах, которые должны запираться и опечатываться.

ПД работников в электронном виде, включая программное обеспечение, предназначенное для автоматизированной обработки ПД, а также базу данных (например, «1С: Зарплата и кадры», «Галактика», «Парус», SAP, иная аналогичная система для ведения кадрового учета), необходимо защищать, предоставляя доступ уполномоченным сотрудникам только при введении логина (личного идентификатора) и пароля доступа, обеспечивая таким образом ограничение доступа к ПД лицам, не уполномоченным законом, либо работодателем для получения соответствующих сведений.

Для обеспечения безопасности ПД работников следует обратиться к постановлению Правительства РФ от 01.11.2012 № 1119, которым утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных.

9. Каковы основные права и обязанности работника в связи с обработкой его ПД работодателем?

Работник имеет право: на полную информацию о своих персональных данных и их обработку. Статья 89 ТК РФ устанавливает, что работник вправе получить полную информацию об обработке своих персональных данных. ЛНА, регламентирующий такую обработку, должен содержать информацию о том, какие персональные данные работников кем и с какой целью обрабатываются внутри организации.

Но если сотрудник обратится к работодателю письменно, то последний должен указать, кто (как минимум должность), в каком объеме и с какой целью обрабатывает эти данные, если это не следует из самого текста ЛНА; на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей таковые, за исключением случаев, предусмотренных законодательством РФ. Например, если доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц (ч. 8 ст. 14 Закона № 152-ФЗ).

Так, если кадровый документ содержит ПД нескольких лиц, доступ к нему одного из этих лиц возможен с согласия остальных. При отсутствии такого согласия работнику может быть предоставлена выписка из документа.

Это же касается случаев, если кадровый документ содержит сведения, составляющие коммерческую, служебную, государственную тайну. Доступ к такому документу также может быть ограничен; на определение представителей для защиты своих персональных данных. Работник может выдать доверенность представителю, который вправе от его имени обращаться к работодателю, например, с досудебным требованием, – прекратить обработку ПД, уточнить ПД и с любым иным требованием, полномочия на которые переданы по соответствующей доверенности; требовать уточнения его персональных данных, блокирования или уничтожения, исправления неверных, устаревших или неполных ПД, а также данных, обработанных с нарушением требований, определенных трудовым законодательством.

При отказе работодателя исключить или исправить ПД работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Работник, например, вправе требовать внести исправления в документ, в котором фамилия, имя или отчество работника напечатаны с ошибкой, или внести исправления в трудовую книжку в связи с изменением ПД, а также внести данные в личную карточку, скажем, в связи с рождением ребенка и т.п.; дополнить заявлением, выражающим собственную точку зрения работника, его персональные данные оценочного характера.

Сюда относятся несогласие с характеристикой, результатами психологического тестирования, рекомендацией, выданной работнику при прохождении аттестации, и т.п.; требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПД работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его ПД.

Работник обязан в случае изменения сведений, составляющих ПД работника (фамилия, имя, отчество, адрес, паспортные данные, сведения об образовании, состоянии здоровья (при выявлении противопоказаний для выполнения работы, обусловленной трудовым договором) и т.п.), незамедлительно предоставить данную информацию работодателю.

10. Какие особенности обработки ПД работника следует учитывать?

Следует иметь в виду, что закон устанавливает различные ограничения для работодателя в сфере обработки ПД. В частности, при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Например, выводы об опоздании или отсутствии работника на работе и последующем применении к работнику дисциплинарного взыскания в этой связи не могут быть сделаны работодателем только лишь на основании данных электронной проходной. Обязательно наличие иных свидетельств, будь то докладные, служебные записки, акты и пр.

С этим также читают:

Просмотров