Защита пенрсональных данных

1. Понятие персональных  данных

     В соответствии со ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Совокупность правовых норм, закрепленных в главе 14 ТК РФ, впервые регулирует отношения по сбору, обработке, хранению, использованию и передаче персональных данных работника.

     Среди локальных нормативных правовых актов следует выделить положение о персонале, разрабатываемое работодателем, которое распространяется на сотрудников конкретной организации, положение о порядке обработки персональных данных организации и др.

     Под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Персональные данные работника относятся к категории документированной информации, т. е. к информации, зафиксированной на материальном носителе с реквизитами, позволяющими ее идентифицировать. Кроме того, персональные данные работника представляют собой сведения, носящие конфиденциальный характер.

     Круг  сведений и вид информации, которые  составляют персональные данные работника,должны быть закреплены в локальном акте организации.

К числу сведений, составляющих информацию о работнике, относятся:

1)сведения, представляемые  работником при приеме на работу, предусмотренные в ст. 65 ТК РФ (сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность работника; сведения, имеющиеся в трудовой книжке; сведения об образовании, квалификации; сведения, содержащиеся в документах медицинского освидетельствования работника, и др.);

2)сведения, создаваемые  и получаемые работодателем в  период трудовой деятельности работника (сведения, содержащиеся в личном деле работника, в приказах, распоряжениях, характеристиках, аттестационных материалах, и др.);

3)сведения о  работнике, хранящиеся у работодателя  после прекращения с ним трудовых  отношений (все персональные данные работника, имеющиеся в архиве организации).

Персональные  данные работников могут  быть двух видов:

—данные, представляющие собой факты, которые не подлежат субъективной оценке, например специальность работника, приобретенная им в результате окончания какого-либо учебного заведения;

—данные оценочного характера, которые могут, в частности, содержаться в характеристике, заключении аттестационной комиссии, и др.

2.Обработка  персональных данных

     Под обработкой персональных данных работника  понимается совокупность отношений, возникающих  в процессе: формирования информационных ресурсов на основе получения, хранения, комбинирования, документирования информации о конкретном работнике в порядке, предусмотренном ст. 86 ТК РФ; использования отдельных документов, а также иной информации, составляющей персональные данные работника, хранящейся у работодателя.

     Процедура обработки персональных данных работника  не закреплена в законе. Статья 86 ТК РФ содержит только перечень общих требований, предъявляемых к обработке таких данных в целях обеспечения прав и свобод человека и гражданина. Среди них следует выделить следующие:

1)при определении  объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ и иными федеральными законами;

2)все персональные  данные работника следует получать  у него самого. Получение персональных  данных у третьих лиц возможно  только с письменного согласия  работника;

3)работодатель  не имеет права получать и  обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых правоотношений, работодатель вправе получать и обрабатывать их с письменного согласия работника;

4)работодатель  не имеет права получать и  обрабатывать персональные данные работника о его членстве в общественных объединениях или участии в профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;

5)при принятии  решений, затрагивающих интересы  работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

6)защита персональных  данных работника от неправомерного использования или утраты должна быть обеспечена работодателем за счет его средств в порядке,установленном федеральным законом;

7)работники и  их представители должны быть  ознакомлены под расписку с  документами организации, устанавливающими  порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

8)работники не  должны отказываться от своих  прав на сохранение и защиту тайны;

9)работодатели, работники и их представители  должны совместно вырабатывать меры защиты персональных данных работников

     Сформулированные  в ТК РФ общие требования, предъявляемые к обработке персональных данных работника, основаны на принципах законности, добровольности, обеспечения равенства возможностей работника без всякой дискриминации в сфере труда. Требования к обработке персональных данных работников и формы их защиты должны быть закреплены в локальных нормативных правовых актах конкретной организации с учетом особенностей и видов ее деятельности, нормы которых не должны ухудшать положение работника в сравнении с ТК РФ и иными федеральными законами.

3. Хранение информации

     Обязанностью  работодателя является обеспечить надлежащее хранение информационных ресурсов,касающихся конкретных работников, необходимых работодателю в связи с трудовыми отношениями (персональных данных работника), в строгом соответствии с требованиями федеральных законов, иных нормативных правовых актов,регламентирующих защиту персональных данных работника от неправомерного использования или утраты. Работодатель своими силами и за свой счет должен организовать хранение персональных данных работника таким образом, чтобы не только обеспечить их защиту от неправомерного использования или утраты, но и предоставить работнику возможность реализовать свое право на ознакомление со всей информацией о нем, имеющейся (хранящейся) у работодателя. Для этого работодатель, его представители обязаны создать необходимые условия, используя все организационно-технические средства. К ним относятся, например, предоставление необходимого помещения, иных технических средств (сейфа, металлического несгораемого шкафа); ограничение доступа лиц к персональным данным работника; установление определенных требований, предъявляемых к получению, обработке, хранению и использованию персональных данных; ознакомление с требованиями по обработке персональных данных лиц, осуществляющих их обработку, установление персональной юридической ответственности должностных лиц, непосредственно осуществляющих их обработку, за нарушение порядка получения, хранения, использования указанной информации и передачи ее третьим лицам.

 4. Передача персональных данных

Передача персональных данных работника осуществляется:

—в пределах одной организации;

—третьей стороне.

Законодательством установлены достаточно жесткие  требования, которые должны соблюдаться при передаче персональных данных как в пределах одной организации, так и при передаче их третьим лицам.

В соответствии с требованием ст. 88 ТК РФ в пределах одной организации передача персональных данных работника осуществляется в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку.

К требованиям, предъявляемым при передаче персональных данных работника в пределах одной  организации, относится:

1)соблюдение  положений локального акта, регламентирующих порядок обработки,хранения и использования персональных данных работника;

2)установление  доступа к персональным данным  работника только специальным  уполномоченным лицам;

3)ограничение  информации, составляющей персональные  данные работника, при передаче этих сведений представителям работника. В соответствии с этими требованиями работодатель должен передавать только те персональные данные работника, которые необходимы для выполнения указанными представителями их функций.

К требованиям, предъявляемым при передаче персональных данных работника третьим лицам, относятся:

1)наличие письменного  согласия работника на передачу  третьей стороне его персональных  данных, в том числе в коммерческих целях. Исключение составляют случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также случаи, установленные федеральным законом;

2)предупреждение  третьих лиц о целях использования  персональных данных работника, сообщенных работодателем;

3)получение от  третьих лиц подтверждения, что  это правило соблюдено.

Нарушение установленных  требований влечет за собой юридическую ответственность виновных лиц.

5. Права работников на обеспечение защиты персональных данных

Наряду с закрепленными  за работодателем обязанностями  по обеспечению защиты персональных данных работника ст. 88 ТК РФ регламентирует права работников в этой области.

Условно права  работника, направленные на обеспечение  защиты его персональных данных ,можно разделить на 3 группы:

1)на полную  информацию о своих персональных  данных и их обработке;

2)требовать устранения  недостатков, имеющихся в персональных данных работника;

3)на защиту  от неправомерных действий (бездействия)  работодателя всеми установленными законом способами.

6. Ответственность за разглашение персональных данных

     Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут юридическую ответственность (ст. 90 ТК РФ).Юридическая ответственность указанных лиц предусмотрена за виновное поведение, которое проявляется в их действиях или бездействии.

     Так, в соответствии с п. 3 ст. 24 Федерального закона от 20 февраля 1995 г. № 24-ФЗ«Об информации, информатизации и защите информации» ответственность за незаконное ограничение доступа к информации и нарушение режима защиты информации несут руководители и другие служащие органов государственной власти, организаций при наличии их вины в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.