Общая характеристика правового регулирования персональных данных работника

Право на неприкосновенность частной жизни относится к категории личных неимущественных прав, традиционно защищаемых гражданским правом. Как любое личное неимущественное право, оно обладает рядом специфических признаков:

 

-     во-первых, оно принадлежит конкретному гражданину в силу закона, является неотчуждаемым и не передаваемым другим лицам иным способам, кроме случаев,

предусмотренных законом.

-     во-вторых, оно является абсолютным, т.е. управомоченному лицу противостоит неопределенный круг лиц, обязанных воздерживаться от нарушения права. 
-     в-третьих, для данного права характерно наличие лишь двух правомочий.

 

 

1)     возможности прибегнуть в случае нарушения его права к установленным

законом мерам защиты;

2)     возможности уполномоченного лица требовать от неопределенного круга

обязанных лиц, воздерживаться от нарушения его права.

На сохранение конфиденциальности тайны сведений о работнике, помимо ТК РФ, направлен ряд других законов. Так, в соответствии с Основами законодательства РФ об охране здоровья граждан информация, содержащаяся в медицинских документах гражданина составляет врачебную тайну и может предоставляться без его согласия только по мотивам, предусмотренным Основами. Не допускается разглашения сведений врачебной тайны лицами, которым они стали известны при обучении, исполнении профессиональных и иных обязанностей, кроме случаев

установленных ч. 4 ст. 61 Основ.

Работодатель, кроме того, не имеет право запрашивать информацию о состоянии здоровья работников, за исключением случаев, когда существует необходимость получения таких сведений, связанных с выполнением работником трудовой функции. В частности, допустимо обращение за информацией о состоянии здоровья беременной женщины при решении вопроса о ее переводе на другую работу. 
В целях обеспечения защиты персональных данных, хранящиеся у работодателя в

соответствии со ст. 89 ТК РФ работники имеют право:

-     на полную информацию об их персональных данных и обработке этих данных; 
-     свободный бесплатных доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев предусмотренных федеральным законом; 
-     определение своих представителей для защиты своих персональных данных; 
-     доступ к относящимся к ним медицинским данным с помощью медицинского

специалиста по их выбору;

-     требование об использовании неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить работодателю в письменной форме о своем несогласии с соответствующем обосновании. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения; 
-     требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполноценные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; 
-     обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника. 
Закрепление прав работника, предусматривающих защиту его персональных данных, обеспечивает сохранность полной информации о нем. 
Субъектами персональных данных являются граждане Российской федерации, иностранные граждане и лица без гражданства, находящиеся на территории РФ, к личности которых относятся соответствующие персональные данные. Держатели персональных данных – органы государственной власти и местного самоуправления, работодатели всех организационно-правовых форм хозяйствования, осуществляющие владение и пользование этими данными.

Проще говоря, субъектами таких отношений выступает работник, его представитель, работодатель, должностные лица, осуществляющие обработку персональных данных работника, а также третьи лица, получающие (или 

представляющие) информацию о работнике.

Необходимо отметить, касаясь субъективного состава, что в главе 14 ТК РФ правом на защиту персональных данных наделяется работник, т.е. физическое лицо, вступившее в трудовые отношения с работодателем. Но на стадии подбора персонала трудовые отношения еще отсутствуют. Соискатель в ТК РФ обозначен как «Лицо, поступающее на работу» (ст. 65). Но в отношении такого лица каких-либо оговорок гл. 14 ТК РФ не содержит. Следовательно, только в том случае, если соискатель стал работником, от него можно требовать сведения, относящиеся к персональными данным, работа с которыми должна осуществляться по нормам статей 86-89 ТК РФ.

Объектами отношений по защите персональных данных работника являются

непосредственно сами «персональные данные».

Итак, под защитой персональных данных работника понимается деятельность управомочных лиц (работодателя, должностных лиц работодателя) по обеспечению конфиденциальности информации о конкретном работнике, полученной работодателем в связи с трудовыми отношениями.

Защита персональных данных обеспечивается системой правовых (локальное регулирование порядка обработки персональных данных) и организационно-

технических мер.

Защита нарушений прав в сфере защиты персональных данных обеспечивается мерами государственного принуждения (мерами дисциплинарной, административной, гражданско-правовой и уголовной ответственности) в

соответствии с федеральными законами.

 

2.2. Деятельность работодателя по обработке персональных данных работника.

 

Взаимоотношения работодателей и работников всегда связаны с накоплением, обработкой, хранением и использованием значительных объемов персональной информации. При выполнении данной деятельности работодатель и его представители в целях обеспечения прав и свобод человека обязаны соблюдать общие требования, установленные статьей 86 ТК РФ. Данная статья устанавливает общие принципы, соблюдение которых работодателем обязательны.  
К примеру, обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников,

контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных¹.

Получение персональных данных должно производиться непосредственно у работника. В некоторых случаях персональные данные, возможно, получить только у третьей стороны. Например, сведения о профессиональном обучении и если работник не может предоставить дополнительные данные, ссылаясь на утерю диплома и пр., когда работодатель сомневается в достоверности записей в трудовой книжке, подлинности получения документа об образовании или достоверности медицинского документа.

Любые действия по сбору дополнительной информации и проверке предоставленных сведений требуют особой правовой осторожности, в силу того, что эти действия часто балансируют на грани, определенной законом.

Во-первых, любую новую информацию можно получать только в связи с подтверждением документов и информации, перечисленной в ст. 65 ТК РФ. 
Во-вторых, требование работодателя о предоставлении дополнительных данных и подтверждении информации во всех случаях должно быть мотивировано (например, в целях перевода работника на другую, более высоко оплачиваемую должность). 
В-третьих, если информация собирается не от самого работника – он должен быть уведомлен работодателем о намерении получить персональные данные у третьей стороны, а также о цели, предполагаемых источниках и способах получения персональных данных, их характере, последствиях отказа работника дать письменное согласие на их получение (пункт 3 статьи 86 ТК РФ) и, в-четвертых, всегда, когда информация получается от третьих лиц, работодатель должен получить письменное согласие работника (образец заполнения в приложении № 6).  
Требование дачи письменного согласия на проведение проверки любой предоставленной информации вообще, как и сама такая проверка, при которой перечисленные условия не соблюдены, незаконна и может быть обжалована в суд. Одним из распространенных нарушений кадровых служб при приеме на работу является предложение заполнить в анкетах следующие пункты: «Не возражаю против получения данных обо мне в...» или «Не возражаю против

проверки представленных данных». Включение в анкеты пункта такого содержания противоречит как Конституции РФ, так и трудовому законодательству. Работодатель не вправе требовать согласия работника на проверку предоставленной работником личной информации, даже если такое согласие получено, он не имеет права проводить проверку (ст. 22 ТК РФ). Согласно пункту 9 статьи 86 ТК РФ работники не должны отказываться от своих прав на сохранение и защиту своей личной, семейной тайны. Поэтому все расписки работника, акты, содержащие подобный отказ являются незаконными.

Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств, в порядке, установленном настоящим Кодексом и иными федеральными законами. 
Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним. Для обеспечения конфиденциальности персональных данных необходимо решение следующих задач:

-     четкая регламентация должностных обязанностей лиц, которых связаны с обработкой персональных данных (в трудовом договоре и (или) должностной инструкции необходимо прописать права, обязанности, ответственность данных должностных лиц за несоблюдение конфиденциальности и правил хранения персональных данных);

-     наличие четкой разрешительной системы доступа к документам, содержащим

персональные данные;

-     регулярного контроля за наличием и сохранностью документов, содержащих персональные данные, как в отделе кадров, так и в других структурных подразделениях организации.

Число людей, которые могут иметь доступ к персональной информации работников должно быть ограничено списком лиц, доступ которых к персональным данным необходим для выполнения их служебных (трудовых) обязанностей. Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в локально нормативных актах организации. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, руководитель организации, работодатель – индивидуальный предприниматель, руководители структурных подразделений. Таким образом, работники бухгалтерии, которые вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, данные требующие для

персонифицированного и налогового учета).

Работодателю необходимо также определить порядок передачи персональных данных работника в пределах одной организации, у одного индивидуального 

предпринимателя, а именно установить:

-     куда может быть передана информация, содержащая персональные данные работника (например, в подразделения организации: бухгалтерию, в службу безопасности);  
-     основание для передачи персональных данных работника (например, письменное разрешение руководителя организации, работодателя – индивидуального предпринимателя или начальника отдела кадров);  
-     перечень лиц, имеющих право передачи персональных данных работника.

Согласно статье 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников в организации устанавливается работодателем с соблюдением требований Кодекса. Он может быть изложен в инструкции, регламенте или ином документе по работе с кадровой информацией. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и

обязанностях в этой области.

Документы, содержащие персональные данные работников (личные дела, картотеки, учетные журналы) необходимо в рабочее и нерабочее время хранить в специально оборудованных шкафах или сейфах. Трудовые книжки работников необходимо хранить в сейфе отдельно от личных дел. По правилам в конце рабочего дня все личные дела должны сдаваться в отдел кадров. Доступ к персональным данным работников, которые хранятся в электронном виде, должен быть технически возможен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций. Все документы по личному составу должны обязательно сдаваться в архив. 
При передаче персональной информации относительно работника работодатель должен руководствоваться ст. 88 ТК РФ. В частности, работодатель обязан соблюдать требования, предусмотренные данной статьей. 
Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам (милиции и другим контролирующим органам) в порядке, установленном федеральным законом. Ни в коем случае нельзя давать подобную информацию по телефону. Основанием для передачи персональных данных работника является письменный запрос от должностного лица соответствующего государственного органа, а если представители контролирующих органов пришли к вам лично - служебное удостоверение и приказ, где указаны цели сбора подобной информации.