Защита персональных данных граждан Российской Федерации задача весьма насущная. В случае если персональные данные используются произвольно и становятся доступными лицам, которым они не должны быть известны, гражданам наносится моральный вред и материальный ущерб. В настоящее время, характеризуемое бурным развитием информационных технологий, на первый план встает вопрос защиты персональных данных при их накоплении, обработке и передаче с использованием средств информатизации. Для регулирования информационных правоотношений в области персональных данных законодателем установлен целый ряд нормативно-правовых актов. Исходя из вышеизложенного, можно сделать вывод, что анализ правового регулирования персональных данных в системе информации довольно актуален.
Особой ценностью обладает информация, несущая в себе данные о личной, индивидуальной или семейной жизни человека. Ст. 2 Конституции Российской Федерации закрепляет основной принцип современного демократического общества: «Человек, его права и свободы являются высшей ценностью». Соответственно и информация, непосредственно затрагивающая частные интересы человека должны уважаться и защищаться государством. В повседневной жизни человека сохранность информации о его жизни зависит от него самого. Но совсем другая ситуация, когда мы обязаны предоставить данные о себе в соответствии с законом третьему лицу, а конкретно — работодателю. Работник в данной ситуации передает конфиденциальную информацию о себе на ответственное хранение. Далее за сохранность данных отвечает уже работодатель. Он обязан оберегать сведения о работнике от посягательств третьих лиц и нести ответственность за распространение указанных данных.
Целью данной работы является анализ законодательства, регулирующего персональные данные работника. Рассмотрение порядка работы с конфиденциальными сведениями о работнике, способы их защиты.
Объект исследования — общественные отношения, связанные с оборотом персональных данных работника.
Предметом данного исследования является совокупность нормативных правовых актов, определяющих понятие и виды персональных данных, условия и принципы их обработки, правовое положение субъектов, участвующих в обороте персональных данных.
Информационную базу курсовой работы составляют: нормативно-правовые акты, труды отечественных авторов, занимающихся исследованиями в области трудового законодательства, а также Интернет-ресурсы.
Курсовая работа состоит из введения, двух глав основного текста, заключения, списка использованных источников. Содержание работы изложено на 39 страницах машинописного текста. Список литературы состоит из 18 источников.
Итоговая контрольная работа по курсу «История древнего мира» ...
... мы сегодня называем те «чудеса», о которых пишут авторы? Прочтите отрывок из сочинения римского историка Плутарха и ответьте на вопросы. Между Тесеем и ……………… много общего, ... работа по курсу «История древнего мира» вариант Выполните тест:, Прародиной человечества является: Азия Австралия Европа Восточная Африка Религиозные верования появились потому, что: Появилась письменность Древнейшие люди ...
1. Общая характеристика правового регулирования персональных данных работника
1.1 Становление института персональных данных работника в российском трудовом праве
Первоначально к проблеме защиты персональных данных на международном уровне обратилась Организация по экономическому сотрудничеству и развитию (ОЭСР), принявшая в 1980 году Директиву о защите и неприкосновенности частной жизни и международных обменах персональными данными. Позднее эти принципы были детализированы в Конвенции Совета Европы «Об охране личности в отношении автоматизированной обработки персональных данных» (1981 год); Директиве Европейского сообщества о защите граждан в плане обработки информации личного характера от 27.07.1990 года; Директиве Европейского союза и Парламента 95- 46 ЕС от 24.10.1995 года о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных; Директиве 97/66 ЕС от 15.12.1997 года по обработке персональных данных, защите конфиденциальности в телекоммуникационном секторе1.
В данных актах определены основные принципы организации автоматизированной обработки данных личного характера и обеспечения права граждан на защиту персональных данных. Россия, как известно, является продолжателем (правопреемником) подписанных еще Советским Союзом международных договоров, которые в соответствии с ч. 4 ст. 15 Конституции РФ являются составной частью российской правовой системы. Конституция Российской Федерации устанавливает сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается (ст. 24 гл. 2 Конституции РФ).
Так, персональные данные отнесены действующим законодательством к категории конфиденциальной
1 Козлова Т.А. Персональные данные работника. Сбор, хранение, ответственность за достоверность и незаконное распространение // Управление персоналом. 2007. № 6. С. 63-69
информации. Одним из основных нормативно-правовых актов, регулирующих отношения, касающихся персональных данных работника и их защиты в России является Федеральный закон от 27.07.2006 года № 149 -ФЗ «Об информации, информационных технологиях и о защите информации». В данном законе в качестве одной из целей защиты информации закрепляется защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационной системе.
Принципиально другой подход к определению режима персональных данных законодатель применяет в отношении государственных служащих. Персональные данные, внесенные в личные дела и документы учета государственных служащих, относятся к сведению конфиденциального характера, а в случаях, установленных федеральным законом и иными нормативными актами РФ, режим ужесточается: они могут составлять государственную тайну. Федеральный закон от 27.07.2004 № 79 — ФЗ «О государственной гражданской службе РФ» предусматривает право государственного служащего на защиту своих персональных данных, Указом Президента РФ утверждено «Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела». В тоже время п. 8 ст. 86 ТК РФ предусматривает обязанность работников и их представителей ознакомится с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Таким образом, правовой режим персональных данных определяется организацией самостоятельно и индивидуально для себя, но без нарушений и в соответствии с законодательными актами.
Персональные данные как информация ограниченного доступа
... (организации), физические лица (граждане). Как информация ограниченного доступа, персональные данные относятся к категории конфиденциальных сведений, ... персональных данных. Ограничение доступа работников организации к персональным данным - неотъемлемая часть мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах. Допуск к обработке персональных данных ...
На практике работодатель всегда собирал данные о работнике. Для этой цели использовались листок по учету кадров, автобиография, различного рода анкеты, письменные характеристики, справки, запросы и т. п. В тоже время правовая регламентация сбора этих данных, их обработка, а также доступа к ним соответствующего работника отсутствовали.
Таким образом, при приеме на работу и в процессе трудовой деятельности работника у работодателя накапливается на него определенное «досье», соответствующие данные о нем, которые вместе с документами, необходимыми при приеме на работу, трудовым договором, приказом (распоряжением) о приеме на работу образуют личное дело работника. Содержащиеся в личном деле данные нередко носят конфиденциальный характер. Такая информация о работнике (персональные данные) представляет собой сведения о фактах, событиях и иных обстоятельствах жизни и деятельности работника, по средствам которых возможно идентифицировать его личность1.
Сегодня, когда широко используются автоматизированные технологии. Практически в каждой организации в информационных системах хранятся и обрабатываются различные данные о сотрудниках, клиентах, партнерах и т.п. Данная информация может стать в той или иной мере открытой и при определенных обстоятельствах привести к ущемлению (или умалению) прав и законных интересов граждан, причинить ему материальный ущерб или моральный вред.
Кроме того, рядовые граждане зачастую сами не заботятся о сохранении своих персональных данных. XXI век — век Интернета и различных коммуникационных сетей, где для регистрации на интернет-сайте необходимо указывать личные данные. Совершая покупки в магазинах, мы, не задумываясь, суем свой паспорт продавцу. Например, при получении кредита, вынуждены предоставлять не только базовые данные (имя, фамилию и место работы), но и также данные членов семьи и других лиц. Также наши данные записываются в больницах, учебных заведениях, и это небольшой перечень перечисленных мест, где персональные данные необходимы. Что касается представляемой работником при поступлении на работу информации работодателю, то она должна иметь форму документа.
1 Анисимов Л.Н. Персональные данные работника: Требование к передаче // Справочник кадровика. 2006. № 7.С. 24-28
Так при заключении трудового договора лицо, поступающее на работу, предъявляет работодателю пакет документов в соответствии со статьей 65 ТК РФ.
Возникает вопрос: какое же количество людей имеет доступ к персональным данным? Это могут быть не только сотрудники учреждений, в которых хранятся эти данные, ими может завладеть практически любой человек и в дальнейшем использовать их с неблаговидной целью. Таких примеров масса. Необходимость закона, регламентирующего защиту данных, очевидна. Персональные данные каждого лица должны быть защищены. Эти и другие возможные обстоятельства предопределили необходимость правового закрепления принципов, касающихся, в частности, обработки персональных данных работников, положений о порядке их хранения и использовании в организации, о передаче персональных данных и правах работника по их защите, а также об ответственности лиц за невыполнения требований правовых норм, регулирующих указанные вопросы. Европейская Конвенция о защите прав человека и основных свобод провозглашает, что каждый человек имеет право на уважение его личной и семейной жизни. Всеобщая Декларация прав человека предусматривает: «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь … Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств»1.
Эти положения закреплены и в Конституции РФ. Так, ст. 23 Конституции РФ гласит, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. В настоящее время в российском законодательстве на базе вышеизложенных документов, предусматривающих защиту сведений о личности и личной жизни граждан от необоснованного ознакомления с ними или распространения этих сведений без ведома (согласия) этого лица, разработано огромное количество нормативных актов, абсолютно новые:
1Конвенция о защите прав человека и основных свобод (Рим, 04.11.1950 г.) (с изм., внесенными Протоколом от 13.05.2004 № 14.) // Справочно -правовая система «Консультант-Плюс», 2015.
Глава 14 «Защита персональных данных» ТК РФ (ст. 85-90); ФЗ РФ «Об информации, информационных технологиях и защите информации»; ФЗ РФ «О персональных данных».
Так таковых единых требований к содержанию режима персональных данных, за исключением требования конфиденциальности нет, как нет и определения понятия персональных данных. Следует также отметить, далеко не всегда в нормативно-правовом акте устанавливаются всем необходимые составляющие правового режима персональных данных, что создает условие для злоупотреблений.
1.2 Понятие персональных данных работника
Регулированию и обеспечению конфиденциальности персонифицированной информации о работниках, посвящены нормы, содержащиеся в статьях Главы 14 «Защита персональных данных работника», которой завершается раздел III «Трудовой договор» ТК РФ. В отечественном трудовом праве такие нормы появились недавно. Действовавший до 1 февраля 2002 года КЗоТ РФ не только не содержал эти нормы, но и не употреблял терминологию, которой охватились бы понятия персональных данных и иной информации о работниках. И только с принятием Трудового кодекса Российской Федерации, сбор, хранение и использование конфиденциальной информации о работниках стали предметом правового регулирования.
Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст.85 гл. 14 ТК РФ).
В тоже время, какая информация необходима работодателю, законодатель не установил. Согласно статье 3 Федерального закона «О персональных данных», определение персональных данных звучит более иным образом: «Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Персональные данные объективно присущи любому человеку, они подчеркивают правовой статус человека и гражданина. Персональные данные содержат необходимый объем информации о человеке, который участвует в соответствующих правоотношениях. Персональные данные принадлежат непосредственно человеку, и он в их несанкционированном распространении, как правило, не заинтересован, в этой связи неслучайно, что персональные данные охраняются различными правовыми средствами. Исходя из этого вполне логично, что доступ к персональным данным имеет весьма ограниченный круг лиц, работодатель, сотрудники кадровых служб и др. В этой связи значение персональных данных трудно переоценить. В настоящее время правовое регулирование персональных данных привлекает особое внимание.
При желании с трудовыми отношениями можно связать любую информацию. Зачастую, работодатели собирают о сотруднике исчерпывающую информацию: о его семейном положении и ближайших родственниках, о жилищных условиях, состоянии здоровья, о фактах привлечения к уголовной ответственности, о наличии постоянной регистрации по месту жительства и многое другое. Но такого рода информация никаким образом не относится к трудовой деятельности работника. Наоборот, тем самым работодатель переходит тонкую грань, отделяющую персональные данные работника от сведений, собираемых в нарушение конституционного положения о праве каждого на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ст. 23 Конституции РФ).
Информацией, получение которой запрещено законом, необходимо признать сведения об обстоятельствах, которые признаются законодательством дискриминацией. В ч. 2 ст. 3 ТК РФ дискриминационные мотивы при принятии решений работодателем связаны с получением сведений о национальности, пола, языке, происхождении, имущественном, социальном положении, возрасте, отношении к религии, политических убеждениях, принадлежности или не принадлежности к общественным объединениям, а также других сведений, не связанных с деловыми качествами работника. Следовательно, получение этих сведений не допускается.
Персональные данные конкретного работника должны быть непосредственно связаны с трудовыми отношениями, то есть с деловыми качествами, имеющими непосредственное отношение к выполняемой работником трудовой функции. При возникновении спора о законности получения сведений о работнике, наличие связи этих сведений с выполняемой работником работой, работодатель должен доказать.
В процессе трудовой деятельности работника работодатель копит и хранит документы, содержащие персональные данные работника.
Таблица 1 — Документы, содержащие персональные данные работника
|
Наименования документа |
Примечание |
||
|
Документы, предоставляемые работником работодателю при заключении трудового договора |
|||
|
Анкета, автобиография, личный листок по учету кадров, заявление о приеме |
Заполняются работником при приеме на работу, в этих документах содержатся анкетные и биографические данные работника |
||
|
Паспорт или иной документ, удостоверяющий личность |
Предоставляется в соответствии ст. 65 ТК РФ. Документ содержит фамилию, имя, отчество, дату рождения, адрес регистрации, семейное положение, состав семьи работника. Для отдела кадров предоставляется копия документа, а его реквизиты указываются в последующей документации. |
||
|
Трудовая книжка |
Предоставляется в соответствии ст. 65 ТК РФ. Документ содержит сведения о трудовом стаже, предыдущем месте работы, награждениях за успехи в работе. На условиях совместительства предоставляется его копия. |
||
|
Страховое свидетельство государственного пенсионного страхования |
Предоставляется в соответствии ст. 65 ТК РФ. Работодатель фиксирует номер данного документа для работы с Пенсионными фондами. |
||
|
Документы воинского учета |
Предоставляется в соответствии ст. 65 ТК РФ военнообязанными и лицами, подлежащих призыву на военную службу. Содержит информацию о военной принадлежности работника, необходимую работодателю для осуществления в организации воинского учета данного круга лиц. Для отдела кадров предоставляется копия документа. |
||
|
Документы об образовании, о квалификации и наличии специальных знаний |
Предоставляется в соответствии ст. 65 ТК РФ для предоставления должности, соответствующей квалификации работника. Для отдела кадров предоставляется копия документа. |
||
|
Свидетельство о заключении брака, рождении детей |
Такие документы содержат сведения о составе семьи, которые могут понадобиться работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством. Для отдела бухгалтерии предоставляется копии документов. |
||
|
Справка о доходах с предыдущего места работы |
Справка обязательна работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством. Для отдела бухгалтерии предоставляется оригинал документа. |
||
|
Документы, оформляемые работодателем при заключении трудового договора |
|||
|
Трудовой договор |
Содержит сведения, обуславливающие трудовую функцию работника, о размере заработной платы, а также иные персональные данные работника |
||
|
Приказы по личному составу |
Содержится информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника. |
||
|
Личная карточка работника |
В ней указываются фамилия, имя, отчество работника, место рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и прочие. |
||
|
Трудовая книжка |
Оформляется работодателем при заключении трудового договора впервые или в связи с утратой, повреждением данного документа с письменного заявления сотрудника. |
||
|
Страховое свидетельство государственного пенсионного страхования |
|||
Для того чтобы установить, в каком объеме работодатель вправе получать от работника информацию о его персональных данных, необходимо определить целевой характер использования персональных данных (п. 1 ст. 86 ТК РФ).
Кроме того, работодатель в процессе своей деятельности собирает информацию о соискателях, необходимую для принятия решения о вступлении с ними в трудовые отношения. Если эта информация содержит персональные данные соискателей, к ней в полной мере относятся установленные законом требования о сборе, обработке, хранении, защите персональных данных.
1.3 Категории персональных данных
Федеральный закон от 27.07.2006 года № 152 — ФЗ «О персональных данных» выделяет «особые категории персональных данных» (ст. 10-12), для них традиционно существуют особые условия обработки. Общедоступные персональные данные могут создаваться в целях информационного обеспечения (в т. ч. справочники, адресные и телефонные книги).
В общедоступные источники информация включается с письменного согласия субъекта персональных данных, предоставленная этим же субъектом. Такие данные не требуют конфиденциальности.
Остановимся поподробнее на специальных категориях персональных данных. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается. Но существует ряд исключений, если:
1) субъект персональных данных дал согласие в письменной форме на обработку этих данных;
2) персональные данные субъекта являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни и здоровья;
4) обработка персональных данных осуществляется в медицинских целях, и осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Теперь остановимся на другой категории — биометрических персональных данных. Федеральным законом «О персональных данных» представлено следующее определение: биометрические персональные данные — сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Обработка таких данных может осуществляться без письменного согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию. Использование биометрических технологий в последние годы стало очень популярным. Увеличившийся в последнее время интерес к данной тематике в мире принято связывать с угрозами активизировавшегося международного терроризма. Многие государства вводят в обращение паспорта с биометрическими данными. Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения (ДНК, отпечатки пальцев, радужная оболочка глаза), так и характеристики, приобретённые со временем или же способные меняться с возрастом и внешним воздействием (почерк, голос или походка).
Законодательство выделяет еще одну категорию — трансграничная категория данных. Трансграничная передача данных — это передача персональных данных на территорию иностранных государств, обеспечивающих адекватную защиту прав субъекта персональных данных, осуществляется в соответствии с настоящим законом, и может быть запрещена или ограничена в целях защиты основ конституционного строя РФ.
2. Защита персональных данных работника
2.1 Понятие субъект и объект защиты персональных данных работника
Трудовой кодекс РФ, вступивший в силу с 01.02.2002 года, впервые на кодифицированном уровне закрепил основополагающие требования о защите персональных данных работника (гл. 14 ст. 85-90 ТК РФ).
Работа любой кадровой службы организации связана с подбором персонала, а также с накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений о работниках. Эти сведения помогают работодателю более точно определить деловые качества работника. Следует отметить, сто термин «деловые качества», упоминаемый, в частности, в ст. 3, 64 ТК РФ, законодатель не расшифровывает1. Можно предположить, что работодатель может ориентироваться на следующий перечень критериев оценки деловых качеств будущего работника:
1) деловая ориентация — установка работника на продуктивную деятельность по достижению результатов;
2) способность к обучению — способность работника к поиску новых знаний, овладение умениями и навыками;
3) организаторские способности;
4) коммуникативные способности;
5) упорство, целеустремленность и решительность при выборе вариантов развития событий;
6) способность к сотрудничеству и межличностные контакты.
Процесс выявления названных критериев, характеризующих деловые качества работника, безусловно, достаточно, сложный. По определению американского Общества по управлению кадрами, работа с персоналом — это «искусство набирать, подготавливать и сохранять квалифицированную
1Молодцов М.В., Головина С.Ю. Трудовое право России. Учебник для вузов. М.:НОРМА, 2003. С. 176
рабочую силу таким образом, чтобы добиться максимальной эффективности и экономии при выполнении функции и достижения целей организации».
Прием работника по деловым качествам предлагает применение определенных приемов сбора сведений о работнике, с тем, чтобы они достаточно полно выявили заранее обозначенный круг критериев, необходимых для занятия той или иной должности с вероятной степенью достоверности и надежности, т.е. работодатель фактически осуществляет сбор персональных данных работника1.
В юриспруденции неприкосновенность частной жизни рассматривается как гарантированные государством возможность и права человека самостоятельно контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера2. Право на неприкосновенность частной жизни относится к категории личных неимущественных прав, традиционно защищаемых гражданским правом. Как любое личное неимущественное право, оно обладает рядом специфических признаков:
1) во-первых, оно принадлежит конкретному гражданину в силу закона, является неотчуждаемым и не передаваемым другим лицам иным способом, кроме случаев, предусмотренных законом.
2) во-вторых, оно является абсолютным, т.е. управомоченному лицу противостоит неопределенный круг лиц, обязанных воздерживаться от нарушения права.
3) в-третьих, для данного права характерно наличие лишь двух правомочий: а) возможности прибегнуть в случае нарушения его права к установленным законом мерам; б) возможности уполномоченного лица требовать от неопределенного круга обязанных лиц, воздерживаться от нарушения его права.
1Карабельникова Б.А. Подход Верховного Суда РФ к проблемам применения ТК РФ // Юрист. 2004. № 14
2Постановление Пленума ВС РФ от 12.03.2003 г. «Обзор судебной практики Верховного суда РФ за четвертый квартал 2002г. (по гражданским делам) // Бюллетень верховного суда РФ. 2003. № 7.
На сохранение конфиденциальности тайны сведений о работнике, помимо ТК РФ, направлен ряд других законов. Так, в соответствии с Основами законодательства РФ об охране здоровья граждан информация, содержащаяся в медицинских документах гражданина составляет врачебную тайну и может предоставляться без его согласия только по мотивам, предусмотренным Основами. Не допускается разглашения сведений врачебной тайны лицами, которым они стали известны при обучении, исполнении профессиональных и иных обязанностей, кроме случаев установленных ч. 4 ст. 61 Основ. Работодатель, кроме того, не имеет право запрашивать информацию о состоянии здоровья работников, за исключением случаев, когда существует необходимость получения таких сведений, связанных с выполнением работником трудовой функции. В частности, допустимо обращение за информацией о состоянии здоровья беременной женщины при решении вопроса о ее переводе на другую работу.
В целях обеспечения защиты персональных данных, хранящиеся у работодателя в соответствии со ст. 89 ТК РФ работник имеет право:
1) на полную информацию об их персональных данных и обработке этих данных;
2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев предусмотренных федеральным законом;
3) определение своих представителей для защиты своих персональных данных;
4) доступ относящийся к нему медицинских данных с помощью медицинского специалиста по его выбору;
5) требование об использовании неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить работодателю в письменной форме о своем несогласии с соответствующим обоснованием. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
6) требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполноценные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
7) обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника.
Закрепление прав работника, предусматривающих защиту его персональных данных, обеспечивает сохранность полной информации о нем.
Субъектами персональных данных являются граждане Российской федерации, иностранные граждане и лица без гражданства, находящиеся на территории РФ, к личности которых относятся соответствующие персональные данные. Держатели персональных данных — органы государственной власти и местного самоуправления, работодатели всех организационно-правовых форм хозяйствования, осуществляющие владение использование этими данными. Проще говоря, субъектами таких отношений выступает работник, его представитель, работодатель, должностные лица, осуществляющие обработку персональных данных работника, а также третьи лица, получающие (или представляющие) информацию о работнике.
Необходимо отметить, касаясь субъективного состава, что в главе 14 ТК РФ правом на защиту персональных данных наделяется работник, т.е. физическое лицо, вступившее в трудовые отношения с работодателем. Но на стадии подбора персонала трудовые отношения еще отсутствуют. Соискатель в ТК РФ обозначен как «Лицо, поступающее на работу» (ст. 65).
Но в отношении такого лица каких-либо оговорок гл. 14 ТК РФ не содержит. Следовательно, только в том случае, если соискатель стал работником, от него можно требовать сведения, относящиеся к персональными данным, работа с которыми должна осуществляться по нормам статей 86-89 ТК РФ.
Объектами отношений по защите персональных данных работника являются непосредственно сами «персональные данные».
Итак, под защитой персональных данных работника понимается деятельность управомочных лиц (работодателя, должностных лиц работодателя) по обеспечению конфиденциальности информации о конкретном работнике, полученной работодателем в связи с трудовыми отношениями. Защита персональных данных обеспечивается системой правовых (локальное регулирование порядка обработки персональных данных) и организационно-технических мер. Защита нарушений прав в сфере защиты персональных данных обеспечивается мерами государственного принуждения (мерами дисциплинарной, административной, гражданско-правовой и уголовной ответственности) в соответствии с федеральными законами.
2.2 Деятельность работодателя по обработке персональных данных работника
Взаимоотношения работодателей и работников всегда связаны с накоплением, обработкой, хранением и использованием значительных объемов персональной информации. При выполнении данной деятельности работодатель и его представители в целях обеспечения прав и свобод человека обязаны соблюдать общие требования, установленные статьей 86 ТК РФ. Данная статья устанавливает общие принципы, соблюдение которых работодателем обязательны. К примеру, обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Обработка персональных данных — это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных1. Получение персональных данных должно производиться непосредственно у работника. В некоторых случаях персональные данные, возможно, получить только у третьей стороны. Например, сведения о профессиональном обучении и если работник не может предоставить дополнительные данные, ссылаясь на утерю диплома и пр., когда работодатель сомневается в достоверности записей в трудовой книжке, подлинности получения документа об образовании или достоверности медицинского документа. Любые действия по сбору дополнительной информации и проверке предоставленных сведений требуют особой правовой осторожности, в силу того, что эти действия часто балансируют на грани, определенной законом.
1 Пункт 3 статьи 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями)// Справочно-правовая система «Консультант Плюс», 2015.
Во-первых, любую новую информацию можно получать только в связи с подтверждением документов и информации, перечисленной в ст. 65 ТК РФ. Во-вторых, требование работодателя о предоставлении дополнительных данных и подтверждении информации во всех случаях должно быть мотивировано (например, в целях перевода работника на другую, более высокооплачиваемую должность).
В-третьих, если информация собирается не от самого работника — он должен быть уведомлен работодателем о намерении получить персональные данные у третьей стороны, а также о цели, предполагаемых источниках и способах получения персональных данных, их характере, последствиях отказа работника дать письменное согласие на их получение (пункт 3 статьи 86 ТК РФ).
В-четвертых, всегда, когда информация получается от третьих лиц, работодатель должен получить письменное согласие работника. Требование дачи письменного согласия на проведение проверки любой предоставленной информации вообще, как и сама такая проверка, при которой перечисленные условия не соблюдены, незаконна и может быть обжалована в суд. Одним из распространенных нарушений кадровых служб при приеме на работу является предложение заполнить в анкетах следующие пункты: «Не возражаю против получения данных обо мне в…» или «Не возражаю против проверки представленных данных». Включение в анкеты пункта такого содержания противоречит как Конституции РФ, так и трудовому законодательству. Работодатель не вправе требовать согласия работника на проверку предоставленной работником личной информации, даже такое согласие получено, он не имеет права проводить проверку (ст. 22 ТК РФ).
Согласно пункту 9 статьи 86 ТК РФ работники не должны отказываться от своих прав на сохранение и защиту своей личной, семейной тайны. Поэтому все расписки работника, акты, содержащие подобный отказ являются незаконными.
Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств, в порядке, установленном настоящим Кодексом и иными федеральными законами. Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним. Для обеспечения конфиденциальности персональных данных необходимо решение следующих задач:
1) четкая регламентация должностных обязанностей лиц, которых связаны с обработкой персональных данных (в трудовом договоре и (или) должностной инструкции необходимо прописать права, обязанности, ответственность данных должностных лиц за несоблюдение конфиденциальности и правил хранения персональных данных);
2) наличие четкой разрешительной системы доступа к документам, содержащим персональные данные;
3) регулярного контроля за наличием и сохранностью документов, содержащих персональные данные, как в отделе кадров, так и в других структурных подразделениях организации.
Число людей, которые могут иметь доступ к персональной информации работников должно быть ограничено списком лиц, доступ которых к персональным данным необходим для выполнения их служебных (трудовых) обязанностей. Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в локально нормативных актах организации. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, руководитель организации, работодатель — индивидуальный предприниматель, руководители структурных подразделений. Таким образом, работники бухгалтерии, которые вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, данные требующие для персонифицированного и налогового учета).
Работодателю необходимо также определить порядок передачи персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя, а именно установить:
1) куда может быть передана информация, содержащая персональные данные работника (например, в подразделения организации: бухгалтерию, в службу безопасности);
2) основание для передачи персональных данных работника (например, письменное разрешение руководителя организации, работодателя — индивидуального предпринимателя или начальника отдела кадров);
3) перечень лиц, имеющих право передачи персональных данных работника.
Согласно статье 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников в организации устанавливается работодателем с соблюдением требований Кодекса. Он может быть изложен в инструкции, регламенте или ином документе по работе с кадровой информацией. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Документы, содержащие персональные данные работников (личные дела, картотеки, учетные журналы) необходимо в рабочее и нерабочее время хранить в специально оборудованных шкафах или сейфах. Трудовые книжки работников необходимо хранить в сейфе отдельно от личных дел. По правилам в конце рабочего дня все личные дела должны сдаваться в отдел кадров. Доступ к персональным данным работников, которые хранятся в электронном виде, должен быть технически возможен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций. Все документы по личному составу должны обязательно сдаваться в архив.
При передаче персональной информации относительно работника работодатель должен руководствоваться ст. 88 ТК РФ. В частности, работодатель обязан соблюдать требования, предусмотренные данной статьей. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам (милиции и другим контролирующим органам) в порядке, установленном федеральным законом. Ни в коем случае нельзя давать подобную информацию по телефону. Основанием для передачи персональных данных работника является письменный запрос от должностного лица соответствующего государственного органа, а если представители контролирующих органов пришли к вам лично — служебное удостоверение и приказ, где указаны цели сбора подобной информации. Работодатель должен обеспечить ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана. Если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника, либо отсутствует письменное согласие работника на предоставление его персональных сведений, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.
Работник имеет право на свободный бесплатный доступ к своим персональным данным, включая получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом (ст. 89 ТК РФ).
Исходя из положений «Перечня типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», утвержденного Росархивом 06.10.2000г., данные документы относятся к документам долговременного хранения и хранятся 50, 75 лет или постоянно.
Бывший работник вправе обращаться к работодателю за информацией относительно своей прошлой работы и информации, которая осталась храниться у бывшего работодателя, поскольку она затрагивает права и свободы работника и может быть необходима для их реализации. Работнику могут понадобиться данные, например, о зарплате, которую он получал, состоя в трудовых отношениях с прежним работодателем, о выполняемых им трудовых функциях и другие сведения. Работодатель обязан не позднее трех дней со дня письменного обращения к нему бывшего работника предоставить надлежащим образом заверенные документы, связанные с работой у него этого работника.
Таким образом, вышеизложенные статьи главы 14 «Защита персональных данных работника» ТК РФ обязывают работодателя принять локальный нормативный акт, устанавливающий порядок обработки, хранения и передачи персональных данных работников, а также их права и обязанности в этой области. Работодателю целесообразно включить в состав кадровой документации Положение о защите персональных данных работников. Данное положение является локальным нормативным актом, в котором регламентируются требования по обработке персональных данных работника, хранению и использованию персональных данных и гарантии их защиты. Положение о персональных данных работников относится к разновидности обязательных кадровых документов, прямо предусмотренных ТК РФ. В соответствии с требованиями Трудового кодекса РФ, в Положение целесообразно включить следующие разделы:
1) цели и задачи обработки персональных данных, основные понятия;
2) законодательные акты — основания для разработки Положения;
3) порядок ввода в действие и внесения изменений в Положение;
4) перечень обрабатываемых персональных данных;
5) перечень структурных подразделений и носителей информации, в которых накапливаются и хранятся персональные данные работников;
6) способ сбора персональных данных и источник их получения (на основании пункта 3статьи 86 ТК РФ);
7) перечень лиц (по должностям), которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
8) способы обработки и использования персональных данных, применяемые работодателем;
9) сроки обработки персональных данных, в том числе сроки их хранения;
10) меры защиты персональных данных от несанкционированного доступа не только у данного работодателя, но и относительно третьей стороны;
11) ответственность за разглашение конфиденциальной информации, связанной с персональными данными работника.
Положение принимается работодателем единолично, оно вступает в силу после процедуры утверждения. Утверждает Положение о персональных данных работника руководитель организации или уполномоченное им лицо — для юридических лиц, или работодатель — индивидуальный предприниматель. Работник должен быть ознакомлен с Положением о персональных данных под роспись. Роспись об ознакомлении с положением содержит следующие данные: фамилия, имя, отчество работника, структурное подразделение, должность, дата, подпись.
Необходимость защиты персональных данных, обрабатываемых операторами, обусловлена не только тем, что с 1 января и не позднее 1 июля 2011г. все информационные системы персональных данных должны быть приведены в соответствие с Федеральным Законом о персональных данных, но и тем, что последствия неправомерных действий с персональными данными приводят к ущербам на уровне личности, общества и государства. К особенности персональных данных следует отнести то, что данный вид информации охватывает многие виды тайн, представленных в различных федеральных законах, при этом осуществить адекватную оценку ущерба от неправомерного доступа к персональным данным представляется достаточно сложным. Так для операторов нарушение конфиденциальности обрабатываемых персональных данных не только негативно сказывается на репутации, но и способно привести к гражданской, административной, и уголовной ответственностям, кроме того, потенциально возможно приостановление действия или аннулирование лицензии на право заниматься основным видом деятельности. Первоочередная задача, стоящая перед операторами в части защиты персональных данных, заключается в рациональном и эффективном выполнении комплексных требований по защите персональных данных. Так для начала, согласно закону «О персональных данных» № 152-ФЗ, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзора), операторы ПД должны выполнить ряд действий:
1) направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных (ст. 22 п. 3)
2) получить письменное согласие субъекта персональных данных на обработку своих данных (ст. 9 п. 4)
3) уведомить субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (ст. 21 п. 4).
Уведомление об обработке персональных данных не требуется, если оператор персональных данных и субъект персональных данных находятся в трудовых отношениях или иных договорных отношениях (ст. 22 п. 2).
3. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
В целях защиты частной жизни личности в связи со сбором персональных данных, важное значение имеют контроль за правомерностью действий владельцев информации в организации работодателя и юридическая ответственность за нарушение установленных законодательством правил работы с персональными данными работника. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной, а также к административной, гражданско-правовой и уголовной ответственности в порядке, установленном федеральными законами (ст. 90 ТК РФ).
Отметим, что статья 24 Закона «О персональных данных» № 152-ФЗ дублирует статью 90 ТК РФ.
3.1 Дисциплинарная и материальная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
На работника, ненадлежащим образом относящегося к хранению и сбережению указанной информации, сведений, может быть наложено дисциплинарное взыскание, также на лиц допустивших ее порчу или утрату.
Виновные в таких нарушениях несут дисциплинарную ответственность в соответствии ст. 192-195 гл. 30 ТК РФ. За совершение дисциплинарного проступка, т.е. неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей (в том числе обязанности соблюдения установленного порядка работы со сведениями конфиденциального характера), работодатель вправе применить одно из предусмотренных ст. 192 ТК РФ дисциплинарных взысканий (замечание, выговор, увольнение по соответствующим основаниям) в порядке, установленном ст. 193 ТК РФ. За разглашение сведений, составляющих охраняемую законом тайну (государственную, коммерческую, служебную или иную), ставшей известной работнику в связи с выполнением им своих трудовых обязанностей, может последовать расторжение трудового договора (подп. «в» п. 6 ст. 81 ТК РФ).
Кроме того, на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, может быть возложена обязанность возместить причиненные этим убытки (п. 7 ст. 243 гл. 39 ТК РФ).
В случае нарушения работодателем законодательства об обработке и защите персональных данных, работники вправе их обжаловать в судебном порядке (ст. 89 ТК РФ), а также требовать возмещения убытков и компенсации морального вреда. Следует иметь в виду, что в соответствии со ст. 208 ГК РФ на требования о защите личных неимущественных прав, к числу которых относятся и права работников на защиту персональных данных, включая право на сохранение тайны личной и семейной жизни, сроки исковой давности не распространяются.
В соответствии со статьей 57 Федерального Закона от 27.07.2004 года № 79-ФЗ «О государственной гражданской службе РФ» за совершение дисциплинарного проступка, то есть за неисполнение или ненадлежащее исполнение гражданским служащим по его вине возложенных на него должностных обязанностей, представитель нанимателя имеет право применить следующие дисциплинарные взыскания:
1) замечание;
2) выговор;
3) предупреждение о неполном должностном соответствии;
4) освобождение от занимаемой должности гражданской службы;
5) увольнение с гражданской службы по основаниям, установленным пунктом 2, подпунктами «а» — «г» пункта 3, пунктами 5 и 6 части 1 статьи 37 настоящего Федерального закона.
