Персональные данные (ПД) работников используются на предприятиях практически ежедневно. В эту деятельность входит не только их получение от новых сотрудников, но и обработка, хранение, передача и другие способы применения этих данных. Но не всегда сотрудники кадровой службы до конца понимают правила работы с этим видом информации, и не во всех компаниях разработаны и внедрены локальные нормативы по работе с персональными данными. В связи с этим нередко встречаются случаи нарушения прав сотрудников компаний в отношении защиты персональных данных.
Законодательство предусматривает жесткую политику в плане ответственности за нарушение требований, регулирующих вопросы обработки и защиты ПД. Поэтому владеть информацией, которая позволяет выработать правила использования этих сведений, их хранения и распространения, необходимо всем, кто имеет отношение к данному виду защищаемых данных.
Основными законодательными документами в сфере защиты ПД являются Трудовой кодекс РФ, а также ФЗ № 152 от 27.07.06 г., которым регламентированы требования к защите ПД.
В соответствии со ст. 3 з-на № 152-ФЗ, к ПД относят любые сведения, которые относятся к конкретному или идентифицируемому с помощью этой информации лицу. Это следующие данные:
Это довольно обширный перечень ПД, который считается открытым. Среди этих данных есть сведения, которые не нужны для выполнения работником его трудовых функций, например, данные о социальном статусе и имуществе. В связи с этим в ТК РФ есть более точное определение ПД работника. Так, статья 85 ТК относит персональные данные к информации, которая нужна нанимателю для организации трудовых отношений и касается определенного работника. Иными словами, это данные, характеризующие физическое лицо как работника. Других критериев и перечня ПД в Трудовом кодексе нет. Обычно это информация, которая нужна при заключении трудового договора или контракта, предусматривается формой личной карточки, требуется для перевода на другую должность и др.
ПД работника обычно находятся в документах:
Список документов с персональными данными работника тоже считают открытым. Физические лица, в зависимости от ситуации, предоставляют свои ПД при анкетировании, опросах. В личных делах сотрудников также хранятся эти сведения.
Работодатель должен знать, что ПД нанятых им работников являются конфиденциальными, это значит, что каждый, кто получил к ним доступ, не должен допустить их распространения, если их владелец не предоставил своего согласия или для этого нет других законных оснований. Этого требует ст. 3 з-на № 152.
Если гражданин дал согласие на предоставление своих ПД неограниченному количеству лиц, они являются общедоступными (к примеру, справочные книги, адресные каталоги и др.). В источниках, являющихся общедоступными, могут также быть данные о квалификации, профессии. Так как любое заинтересованное лицо может иметь к ним доступ, охранять их нет необходимости.
Наниматель обязан обеспечить секретность ПД. Обычно их сбором и дальнейшей обработкой занимаются кадровики и бухгалтеры. При заключении трудовых договоров с такими сотрудниками необходимо предусмотреть обязанности, касающиеся обеспечения сохранности ПД сотрудника, являющихся конфиденциальными.
ПД отдельных категорий работников относятся к государственной тайне. Это касается служащих, занимающих государственные должности. Ч. 5 ст. 14 ФЗ № 58 от 27.05.03 г., которым регулируются вопросы госслужбы в РФ, содержит требование: ПД, внесенные в личные дела таких служащих, нужно считать персонифицированными. Федеральные законы и другие нормативные акты в определенных случаях относят эти данные к конфиденциальным. Например, в ст. 17 ФЗ № 40 от 03.04.95 г. о ФСБ информация о сотрудниках этого ведомства, которые занимаются выполнением спецзаданий в спецслужбах и организациях других стран, внедрены в преступные группировки, относится к гостайне.
Так как ПД относится к информации, с которой приходится работать многим специалистам, законодательство предусматривает понятие «Обработка личных данных» и требует выполнять определенные правила при их использовании. В соответствии со ст. 85 ТК РФ, в процесс обработки ПД работника входит их получение, хранение с соблюдением определенных условий, комбинирование, а также передача или другое применение таких данных. В 152-м законе это понятие раскрывается более точно. Все операции с ПД (ст. 3 з-на 152) состоят из:
Такое определение позволяет говорить о любых действиях, которые совершаются с ПД.
В ст. 86 ТК РФ изложены требования к процедуре обработки ПД, которые должен выполнять наниматель и специалисты его кадровых служб по защите таких данных работника.
Их использование возможно только:
Других целей, в которых бы стало возможным использовать ПД работника, быть не должно, и действия по их распространению в таких случаях являются незаконными.
Во время определения объемов и содержания ПД, которые подлежат обработке, наниматель обязан соблюдать нормы действующего законодательства. Данные, которые характеризуют физическое лицо как работника, не должны передаваться третьим лицам.
Одним из важнейших требований, оговоренных пунктом 3 статьи 86 ТК, которое очень часто нарушается в повседневной жизни, является возможность получения всех ПД работника только от него лично. Если такие сведения предоставляет третья сторона, об этом нужно заранее поставить в известность работника, которого касается эта информация. В этом случае нужно получить не только его устное согласие, но и письменное.
Во время информирования работника нужно сообщить ему, какие цели преследует организация, прибегая к такому способу добычи информации о нем, а также об используемых для этого источниках, характере и способах получения ПД. Также нужно предупредить его о последствиях, если сотрудник не захочет предоставить письменно свое согласие на сбор таких сведений. Из этого следует, что без его согласия получение информации о нем без его ведома недопустимо.
Наниматель не может собирать и осуществлять обработку ПД работника, которые относятся к его политическим взглядам, религиозным, сексуальным и прочим его убеждениям. Это касается также его частной жизни. Необходимо помнить, что религиозные и политические ПД защищены безусловным законодательным запретом на их получение и обработку. Но собирать информацию, касающуюся личной жизни физического лица, разрешается, если это связано с трудовыми отношениями и только если он дал свое согласие на их обработку в письменном виде.
Нанимателю запрещено получать и обрабатывать ПД работника о его пребывании в рядах общественных организаций и в профсоюзных органах.
Если принимаются решения, которые касаются интересов работника, основываться на его ПД нельзя, если они получены только в результате их обработки автоматизированными системами или с помощью электронных способов получения. Такой запрет вызван тем, что добытые таким способом ПД могут использоваться в неправильном контексте. Каждый конкретный случай требует индивидуального подхода, при этом нужно руководствоваться данными, которые были получены в результате комплексного подхода к сбору ПД.
Защищать ПД от их незаконного применения или утери работодатель обязан за свои средства. При этом необходимо выполнять требования ТК и других ФЗ.
Каждый работник или его представитель должны быть ознакомлены в письменном виде с документацией нанимателя, регламентирующей порядок, в котором осуществляется обработка ПД. Важно также уведомить работника о том, какие права и обязанности на него накладываются в этом отношении. Обычно на предприятии такими документами являются инструкция или положение.
Отказываться от своих прав, обеспечивающих сохранность и защиту его ПД, работник не должен. В трудовом договоре должна содержаться норма: в случае отказа от этого права заключаемый договор не будет считаться действительным.
Все стороны производственных отношений обязаны совместно соблюдать меры защиты ПД. В связи с этим необходимо создавать и руководствоваться в работе нормативными актами о ПД локального характера.
Наниматель обязан установить порядок, в соответствии с которым на предприятии будет осуществляться сбор, хранение и применение ПД наемных сотрудников. Этого требует ст. 87 ТК. Такие нормы могут содержаться в локальных актах компании по данному направлению деятельности, которые должны соответствовать требованиям, диктуемым Трудовым Кодексом и соответствующими федеральными законами. Все документы, касающиеся ПД сотрудника, должны храниться в его личном деле в соответствии с порядком, установленным работодателем с соблюдением сроков хранения, предусмотренных Перечнем типовых управленческих документов, утв. ФАСР 06.10.2000 г. Личные дела обычных сотрудников должны храниться 75 лет, руководящих работников, имеющих звания, награды и др., – постоянно.
Передача ПД может осуществляться в пределах предприятия и вне его. Выполнение таких действий регламентировано статьей 88 ТК РФ. Во время их выполнения важно, чтобы передача ПД осуществлялась только с личного согласия работника, если она необходима в коммерческих целях или для третьей стороны. Но если эти действия нужно выполнить, чтобы воспрепятствовать угрозе жизни и здоровью работника, и в других случаях, предусмотренных Трудовым кодексом РФ, согласие работника не требуется.
При передаче ПД лица, которые их получают, необходимо предупредить о том, что использовать эти данные можно только в целях, которые были сообщены. При этом можно потребовать подтверждения соблюдения этого правила. Получатели ПД должны придерживаться режима конфиденциальности, кроме случаев, установленных определенными ФЗ.
Передавать ПД работников внутри предприятия можно, руководствуясь нормативным актом локального действия. При этом работники, причастные к такой деятельности, должны быть письменно ознакомлены с этим документом. ИП также должны передавать ПД по локальному акту и с подписью работников.
Доступ к ПД могут иметь только уполномоченные лица. Они имеют право на получение только определенного объема данных, без которых выполнять свои рабочие обязанности не могут.
Запрещено требовать информацию, касающуюся здоровья сотрудника. Исключение составляют данные, которые необходимы для установления возможности таким сотрудником выполнять определенные производственные функции.
Передавать ПД работника представителям трудового коллектива можно только в объеме, позволяющем выполнять ими необходимые функции.
Чтобы обеспечить защиту ПД, которыми располагает работодатель, работники имеют право (ст. 89 ТК РФ):
Также работник имеет право исключать и исправлять неполные или неправильно предоставленные ПД, а также собранные или обработанные с нарушением норм ТК РФ.
Если работодатель отказывается выполнять эти действия, работник имеет право письменно об этом заявить и обосновать свои претензии.
При отказе работодателя исключить или исправить персональные данные работника, последний вправе заявить в письменной форме о своем несогласии с его обоснованием.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
