Защита персональных данных работника

Защите персональных данных работника посвящена главе 14 Трудового кодекса РФ, нормы которой в целом соответствуют Конституции России, устанавливающей право каждого человека на неприкосновенность частной жизни, личную тайну, защиту своей чести и доброго имени, а сбор, хранение, использование информации о частной жизни человека без его согласия не допускается. 

Что такое персональные данные работника

В Трудовом кодексе РФ нет определения персональных данных работника. Понятие «персональные данные» содержится в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

 

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Закона о персональных данных).

 

Таким образом, можно сказать, что персональные данные работника – любая информация, относящаяся прямо или косвенно к конкретному работнику (субъекту персональных данных), необходимая работодателю в связи с выполнением работником своей трудовой функции.

 

Нормы Закона о персональных данных направлены на обеспечение правовой защиты персональных данных граждан. В сфере трудовых отношений указанные нормы конкретизируются положениями гл. 14 ТК РФ и распространяются на субъекта персональных данных – работника, состоящего в трудовых отношениях с работодателем, располагающим в силу своего положения сведениями о фактах, событиях, обстоятельствах жизни работника.

 

Персональные данные, в том числе данные о частной жизни работника, охватывают всю информацию, необходимую работодателю для оформления трудовых отношений, их изменения и прекращения. К данной информации относятся сведения, содержащиеся в документах, которые работник согласно ст. 65 ТК РФ предъявляет при поступлении на работу. Это также информация, которая формируется работодателем в течение всей трудовой деятельности работника и затем хранится у него после прекращения с работником трудовых отношений.

 

К персональным данным работника, в частности, относятся:

  • фамилия, имя, отчество, дата и место рождения, паспортные данные;
  • сведения об образовании, имеющихся навыках, повышении квалификации и профессиональной переподготовке, наличии ученых степеней и званий, научных трудов;
  • сведения о предыдущей трудовой деятельности;
  • информация о получаемом вознаграждении за труд и пр. 

В ряде законодательных актов предусмотрены специальные требования относительно персональных данных работника. Так, например, на основании ст. 12 Федерального закона от 02.03.2007 N 25-ФЗ «О муниципальной службе в Российской Федерации» муниципальный служащий обязан представлять в установленном порядке дополнительные сведения о себе и своей семье.

 

В особых случаях, в зависимости от характера выполняемой работы, необходима специальная информация о работнике. Поэтому Федеральным законом от 25.07.1998 N 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» установлена обязательная дактилоскопическая регистрация для ряда категорий работников.

 

В соответствии с Инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне, утвержденной постановлением Правительства РФ от 06.02.2010 N 63 при допуске к работе со сведениями, составляющими государственную тайну, необходима дополнительная информация о работнике, касающаяся не только его самого, но и ближайших родственников.

Гарантии защиты персональных данных работника

В целях обеспечения прав и свобод работников в ст. 86 ТК РФ предусмотрены гарантии защиты их персональных данных, а также установлены общие требования при их обработке.

 

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Закона о персональных данных).

 

Работодатель при обработке персональных данных работника обязан соблюдать следующие основные требования:

  1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами;
  3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
  4. Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами;
  5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
  6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
  7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами;
  8. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
  9. Работники не должны отказываться от своих прав на сохранение и защиту тайны;
  10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. 

Важным требованием для защиты персональных данных, соблюдение которого необходимо при обработке персональных данных работника, состоит в необходимости все персональные данные работника получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть поставлен об этом в известность заранее и от него следует получить письменное согласие. Кроме того, работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере получаемых персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Защита персональных данных работника при их передаче

Защита персональных данных работника от неправомерного их использования должна обеспечиваться работодателем за счет его собственных средств в порядке, установленном Трудовым кодексом и иными федеральными законами.

 

При передаче персональных данных работника работодатель должен соблюдать следующие основные требования:

  • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Права работников по защите своих персональных данных

В целях обеспечения защиты персональных данных работники имеют право на:

  • полную информацию об их персональных данных и обработке этих данных;
  • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  • определение своих представителей для защиты своих персональных данных;
  • доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
  • требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона;
  • дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;
  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Ответственность за нарушение требований о защите персональных данных работников

Статья 90 Трудового кодекса РФ предусматривает ответственность лиц, виновных в нарушении законодательства, регулирующего обработку и защиту персональных данных работника. Указанные виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.

 

Так, например, ответственность за нарушение требований о защите персональных данных установлена ст. 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных», ст. 137 УК РФ «Нарушение неприкосновенности частной жизни».

 

С сотрудником, ответственным за обработку и защиту персональных данных работников, в случае их разглашения расторгается трудовой договор по инициативе работодателя на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ.