ПЕРСОНАЛЬНЫЕ ДАННЫЕ В КАДРОВОМ ДЕЛОПРОИЗВОДСТВЕ

⇐ ПредыдущаяСтр 37 из 47Следующая ⇒

Деятельность любого работодателя связана с подбором персонала, а также с накоплением, обработкой, хранением и использованием значительных объемов сведений о работниках. Как следствие этого, в работе отдела кадров формируется комплекс так называемых персональных данных работников, который входит в круг информации, подлежащей защите от несанкционированного доступа. Об этом в свете последних изменений законодательства мы и поговорим в нашей статье.

Статьей 23 Конституции Российской Федерации гарантируются личная тайна, семейная тайна, неприкосновенность частной жизни, защита чести и доброго имени гражданина.

Разглашение этой тайны, то есть несанкционированное, бесконтрольное распространение персональных данных во времени и пространстве, может нанести значительный ущерб субъекту персональных данных.

В Трудовом кодексе Российской Федерации (далее - ТК РФ) закреплены основные требования к обработке персональных данных работника и гарантии их защиты. Так, гл. 14 ТК РФ носит название " Защита персональных данных работника" и закрепляет ст. ст. 86 - 90 включительно.

Отмечаем, что ранее в эту главу входила также и ст. 85, которая закрепляла понятие персональных данных и понятие обработки персональных данных.

Эта норма утратила силу (смотрите Федеральный закон от 7 мая 2013 г. N 99-ФЗ " О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона " О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона " О персональных данных" ).

Федеральным законом от 27 июля 2006 г. N 152-ФЗ " О персональных данных" (далее - Закон о персональных данных) персональные данные определяются как любая информация, относящаяся к прямо или косвенно определенному либо определяемому физическому лицу (субъекту персональных данных).

Персональные данные идентифицируют личность каждого человека. Субъектами (собственниками) персональных данных являются граждане Российской Федерации, иностранные граждане и лица без гражданства, находящиеся на территории Российской Федерации, к личности которых относятся соответствующие персональные данные.

В соответствии со ст. 3 Закона о персональных данных оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные работника могут накапливаться по месту работы и содержаться в кадровой документации, включающей в себя:

- личные дела и трудовые книжки работников;

- документы, возникающие при оформлении трудовых правоотношений (при решении вопросов о приеме на работу, переводе, увольнении, поощрении и тому подобном);

- документы по анкетированию, тестированию и тому подобные;

- приказы (распоряжения) по личному составу;

- документацию по аттестации сотрудников, служебным расследованиям и тому подобному;

- учетную документацию (картотеки, книги, журналы и другие);

- аналитическую и справочную документацию, как используемую руководством, так и выдаваемую работникам для представления в заинтересованные органы;

- отчетную документацию, передаваемую в государственные органы статистки, налоговые органы и другие учреждения.

Защита персональных данных работника от их неправомерного использования или утраты должна обеспечиваться за счет средств работодателя. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работника.

Согласно трудовому законодательству работодатель вправе осуществлять обработку персональных данных работника, а именно: получение, хранение, комбинирование, передачу или любое другое использование персональных данных работника. Принципы обработки персональных данных закреплены в ст. 5 Закона о персональных данных.

С другой стороны, ст. ст. 86, 87, 88 ТК РФ обязывают работодателя принять локальный нормативный акт, устанавливающий порядок обработки и передачи персональных данных работников, а также их права и обязанности в этой области.

В этом случае работодателю целесообразно включить в состав кадровой документации положение о защите персональных данных работников.

Положение об обработке персональных данных работников представляет собой локальный нормативный акт, в котором установлены требования, которые необходимо соблюдать при обработке персональных данных работника, гарантии их защиты, правила хранения и использования персональных данных, права работника по защите персональных данных и ответственность работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Исходя из норм ТК РФ, в таком положении целесообразно прописать следующие основные разделы:

- цели и задачи обработки персональных данных, основные понятия;

- законодательные акты - основания для разработки положения;

- порядок ввода в действие и внесения изменений в положение;

- перечень обрабатываемых персональных данных;

- перечень структурных подразделений и носителей информации, в которых накапливаются и хранятся персональные данные работников;

- способ сбора персональных данных и источник их получения (на основании п. 3 ч. 1 ст. 86 ТК РФ);

- перечень лиц (по должностям), которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- способы обработки и использования персональных данных, применяемые работодателем;

- сроки обработки персональных данных, в том числе сроки их хранения;

- меры защиты персональных данных от несанкционированного доступа не только у данного работодателя, но и относительно третьей стороны;

- ответственность за разглашение конфиденциальной информации, связанной с персональными данными работника.

Положение об обработке персональных данных работников утверждается и вводится в действие приказом руководителя организации и является обязательным для исполнения всеми работниками. Работник должен быть ознакомлен с положением о персональных данных под роспись. Роспись об ознакомлении с положением содержит следующие данные: фамилию, имя, отчество работника, структурное подразделение, должность, дату, подпись.

Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (смотрите п. 1 ч. 1 ст. 86 ТК РФ).

Ознакомьтесь с положениями Федерального закона от 2 июля 2013 г. N 185-ФЗ " О внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу законодательных актов (отдельных положений законодательных актов) Российской Федерации в связи с принятием Федерального закона " Об образовании в Российской Федерации".

Получение персональных данных должно осуществляться в установленном законом порядке. По общему правилу все персональные данные следует получать у самого работника.

В случае если персональные данные возможно получить только у третьей стороны, необходимо соблюдение следующих условий:

- уведомление работника работодателем о намерении получить персональные данные у третьей стороны (с указанием цели, предполагаемых источников и способов получения персональных данных, их характера, последствий отказа работника дать письменное согласие на их получение);

- получение письменного согласия работника на получение его персональных данных у третьего лица;

- сообщение работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (смотрите п. 3 ч. 1 ст. 86 ТК РФ).

Следует отметить, что работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами (смотрите п. 4 ч. 1 ст. 86 ТК РФ). В связи с этим заметим: ст. 24 Конституции Российской Федерации установлено, что в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Работодатель также не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности (п. 5 ч. 1 ст. 86 ТК РФ).

При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель также должен руководствоваться оценкой личных качеств работника, добросовестности и эффективности его трудовой деятельности.

Порядок хранения и использования персональных данных работников согласно ст. 87 ТК РФ работодатель вправе установить самостоятельно (прописав для этих целей порядок хранения и использования персональных данных в положении о персональных данных).

Право доступа к персональным данным имеют:

- руководитель организации, работодатель - индивидуальный предприниматель;

- непосредственный руководитель работника;

- начальник отдела кадров;

- сотрудники отдела кадров.

При работе с документами, содержащими персональные данные, работниками, прежде всего отдела кадров, должен соблюдаться принцип конфиденциальности персональных данных.

Согласно ст. 88 ТК РФ при передаче персональных данных работника третьей стороне работодатель должен соблюдать следующие требования:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника;

- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;

- осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Информация, относящаяся к персональным данным работника, может быть представлена государственным органам (полиции и другим контролирующим органам). В этом случае основанием для передачи персональных данных работника является письменный запрос от должностного лица соответствующего государственного органа, а если представители контролирующих органов пришли к вам лично - служебное удостоверение и приказ, где указаны цели сбора подобной информации.

Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним. Можно рекомендовать для отдела кадров все документы, содержащие персональные данные работников, прежде всего это личные дела, картотеки, учетные журналы, хранить в рабочее и нерабочее время в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников хранить в сейфе отдельно от личных дел. В конце рабочего дня все личные дела должны сдаваться в отдел кадров.

Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. В таком случае доступ к персональным данным работников должен быть технически возможен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций. Все документы по личному составу должны обязательно сдаваться в архив.

В соответствии со ст. 89 ТК РФ в целях обеспечения защиты своих персональных данных, хранящихся у работодателя, работник обладает правом на:

- полную информацию о его персональных данных и обработке этих данных;

- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника;

- определение своих представителей для защиты своих персональных данных;

- доступ к медицинской документации, отражающей состояние его здоровья, с помощью медицинского работника по его выбору;

- требование об исключении или исправлении неверных либо неполных персональных данных. При отказе работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Соблюдение всех вышеизложенных требований должны обеспечивать совместными усилиями кадровая служба, юридическая служба, а в случае ведения автоматизированного учета кадров - и специалисты по защите информации.

В свою очередь, работник обязан передавать работодателю или его представителю достоверную документированную информацию о своих персональных данных, а также своевременно сообщать о внесении изменений в свои персональные данные.

Работники не должны отказываться от своих прав на сохранение и защиту своей личной, семейной тайны (п. 9 ч. 1 ст. 86 ТК РФ). Поэтому все расписки работника, акты, содержащие подобный отказ, являются незаконными.

Статья 24 Закона о персональных данных устанавливает, что лица, виновные в нарушении требований данного Закона, несут предусмотренную законодательством Российской Федерации ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным Законом, а также требований к защите персональных данных, установленных в соответствии с ним, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Эту статью в определенной мере, только развернуто применительно к трудовым правоотношениям, регламентирует ст. 90 ТК РФ.

В соответствии с ней лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена:

- за неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации (ст. 5.39 Кодекса Российской Федерации об административных правонарушениях (далее - КоАП РФ));

- за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ);

- за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).

Преступлениями, влекущими за собой уголовную ответственность в определенных и соответствующих случаях для данных целей, являются:

- нарушение неприкосновенности частной жизни (ст. 137 Уголовного кодекса Российской Федерации (далее - УК РФ));

- отказ в предоставлении гражданину информации (ст. 140 УК РФ);

- неправомерный доступ к компьютерной информации (ст. 272 УК РФ).

⇐ Предыдущая 32 33 34 35 363738 39 40 41 Следующая ⇒