Защита персональных данных работника

Согласно ст.24 Конституции РФ, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Государство придаёт большое значение неприкосновенности частной жизни граждан, а поэтому сбор, хранение, использование и распространение информации о частной жизни лица специально регулируется нормативно-правовыми актами: Федеральным законом от 27 июля 2006 г. «О персональных данных», ст.ст.85-90 гл.14 "Защита персональных данных работника" Трудового кодекса РФ, а также Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. пост. Правительства РФ от 17 ноября 2007 г. № 781.

Персональные данные физического лица – более широкое понятие, чем персональные данные работника. Если первое – это любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и др. информация (ст. 3 ФЗ от 27 июля 2006 г. «О персональных данных»), то персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 Трудового кодекса РФ), в т.ч. это могут быть сведения о его судимости, о состоянии здоровья.

2. Обработка персональных данных.

Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника (ст. 85 ТК РФ), например, это может быть сбор, систематизация, накопление, уточнение (обновление, изменение), распространение и даже уничтожение персональных данных.

Закон устанавливает общие требования при обработке персональных данных работника и гарантии их защиты (ст. 86 ТК РФ). Так, работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1. обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2. при определении объёма и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами;

3. все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлён об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4. работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5. работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами;

6. при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7. защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном Трудовым кодексом и иными федеральными законами;

8. работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9. работники не должны отказываться от своих прав на сохранение и защиту тайны;

10. работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Допустимы также блокирование персональных данных, т.е. временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи (п.6 ст. 3 ФЗ от 27.07.2006 г. «О персональных данных»), и обезличивание персональных данных, т.е. действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту (п.8 ст. 3 ФЗ от 27.07.2006 г. «О персональных данных»).

В соответствии ч.1 ст. 6 ФЗ от 27.07.2006 г. «О персональных данных», главным условием обработки персональных данных любого субъекта является письменноесогласие субъекта на эту обработку (ст.9). Согласия не требуется в тех случаях, когда обработка персональных данных (ч.2. ст. 6) осуществляется:

1. на основании федерального закона, устанавливающего её цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия лица, производящего обработку;

2. в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3. для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4. для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5. для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчётов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6. в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7. для опубликования в соответствии с федеральными законами, в т.ч. персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Лицами, производящими обработку персональных данных субъекта, а также третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных. Обеспечения конфиденциальности не требуется в случае обезличивания персональных данных, а также в отношении общедоступных персональных данных (ст. 7 ФЗ от 27.07.2006 г. «О персональных данных»).

Общедоступными персональными данными считаются данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта таких данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (п.12 ст. 3 ФЗ от 27.07.2006 г. «О персональных данных»).

3. Передача персональных данных работника. Права работника по защите персональных данных, хранящихся у работодателя.

Суть передачи персональных данных работника заключается в том, что сведения о работнике распространяются и могут стать известными неопределённому кругу лиц. Поэтому при передаче персональных данных работника работодатель обязан соблюдать следующие требования (ст. 88 ТК РФ):

1. не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами;

2. не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

3. предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом и иными федеральными законами;

4. осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

5. разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

6. не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

7. передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

В целях обеспечениязащиты персональных данных, хранящихся у работодателя, работники имеют право на (ст. 89 ТК РФ):

· полную информацию об их персональных данных и обработке этих данных;

· свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

· определение своих представителей для защиты своих персональных данных;

· доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

· требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

· требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

· обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Для хранения и обработки персональных данных работников работодатель вправе создавать информационную систему персональных данных, которая представляет собой совокупность персональных сведений, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Работодатель обязан обеспечить безопасность персональных данных. Это достигается путём исключения несанкционированного, в т.ч. случайного, доступа к персональным данным работников, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.