Защита персональных данных работника


Защите персональных данных работника посвящена глава 14 Трудового кодекса РФ, нормы которой в целом соответствуют Конституции РФ, устанавливающей право человека на неприкосновенность частной жизни, личную тайну, защиту своей чести и доброго имени, а сбор, хранение, использование информации о частной жизни человека без его согласия не допускается. 

Что такое персональные данные работника

В Трудовом кодексе РФ нет определения персональных данных работника. Понятие «персональные данные» содержится в Федеральном законе «О персональных данных».

 

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 

Таким образом, можно сказать, что персональные данные работника – любая информация, относящаяся прямо или косвенно к конкретному работнику (субъекту персональных данных), необходимая работодателю в связи с выполнением работником своей трудовой функции.

 

Нормы Федерального закона «О персональных данных» направлены на обеспечение правовой защиты персональных данных граждан. В сфере трудовых отношений указанные нормы конкретизируются положениями гл. 14 ТК РФ и распространяются на субъекта персональных данных – работника, состоящего в трудовых отношениях с работодателем, располагающим в силу своего положения сведениями о фактах, событиях, обстоятельствах жизни работника.

 

Персональные данные, в том числе данные о частной жизни работника, охватывают всю информацию, необходимую работодателю для оформления трудовых отношений, их изменения и прекращения. К данной информации относятся сведения, содержащиеся в документах, которые работник предъявляет при поступлении на работу. Это также информация, которая формируется работодателем в течение всей трудовой деятельности работника и затем хранится у него после прекращения с работником трудовых отношений.

 

К персональным данным работника, в частности, относятся: фамилия, имя, отчество, дата и место рождения, паспортные данные; сведения об образовании, имеющихся навыках, повышении квалификации и профпереподготовке, наличии ученых степеней и званий, научных трудов; сведения о предыдущей трудовой деятельности; информация о вознаграждении за труд и пр.

 

В ряде законодательных актов предусмотрены специальные требования относительно персональных данных работника. Так, например, на основании ст. 12 Федерального закона «О муниципальной службе в Российской Федерации» муниципальный служащий обязан представлять в установленном порядке дополнительные сведения о себе и своей семье.

 

В особых случаях, в зависимости от характера выполняемой работы, необходима специальная информация о работнике. Поэтому Федеральным законом «О государственной дактилоскопической регистрации в Российской Федерации» установлена обязательная дактилоскопическая регистрация для ряда категорий работников.

 

В соответствии с Инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне при допуске к работе со сведениями, составляющими государственную тайну, необходима дополнительная информация о работнике, касающаяся не только его самого, но и ближайших родственников.

 

В ряде случаев работодатель в установленном законом порядке должен запросить сведения о том, не лишено ли лицо, претендующее на соответствующую должность, права занимать ее в соответствии с установленными ограничениями и запретами.

Гарантии защиты персональных данных работника

В целях обеспечения прав и свобод работников в ст. 86 ТК РФ предусмотрены гарантии защиты их персональных данных, а также установлены общие требования при их обработке.

 

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 

Работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие требования:

  1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами;
  3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
  4. Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами;
  5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
  6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
  7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами;
  8. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
  9. Работники не должны отказываться от своих прав на сохранение и защиту тайны;
  10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. 

Важным требованием для защиты персональных данных, соблюдение которого необходимо при обработке персональных данных работника, состоит в необходимости все персональные данные работника получать у него самого.

 

Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть поставлен об этом в известность заранее и от него следует получить письменное согласие. Кроме того, работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере получаемых персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Защита персональных данных работника при их передаче

Защита персональных данных работника от неправомерного их использования должна обеспечиваться работодателем за счет его собственных средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.

 

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций. 

Права работников по защите своих персональных данных

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

  • полную информацию об их персональных данных и обработке этих данных;
  • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  • определение своих представителей для защиты своих персональных данных;
  • доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
  • требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона;
  • дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;
  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Ответственность работодателя за нарушение требований о защите персональных данных работника

Статья 90 Трудового кодекса РФ предусматривает ответственность лиц, виновных в нарушении законодательства, регулирующего обработку и защиту персональных данных работника. Указанные виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.

 

Так, например, ответственность за нарушение требований о защите персональных данных установлена ст. 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных», ст.  137 УК РФ «Нарушение неприкосновенности частной жизни».

 

С сотрудником, ответственным за обработку и защиту персональных данных работников, в случае их разглашения расторгается трудовой договор по инициативе работодателя на основании пп. «в» п. 6 ч. 1 ст. 81 Трудового кодекса РФ.