Персональные данные работника

     Работодателю  необходимо также определить порядок  передачи персональных данных работника  в пределах одной организации, у одного индивидуального предпринимателя, а именно установить:

• куда может быть передана информация, содержащая персональные данные работника (например, в подразделения организации: бухгалтерию, в службу безопасности);
• основание для передачи персональных данных работника (например, письменное разрешение руководителя организации, работодателя – индивидуального предпринимателя или начальника отдела кадров);
• перечень лиц, имеющих право передачи персональных данных работника.

     Согласно  статье 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников в организации устанавливается работодателем с соблюдением требований Кодекса. Он может быть изложен в инструкции, регламенте или ином документе по работе с кадровой информацией. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

     Документы, содержащие персональные данные работников (личные дела, картотеки, учетные журналы) необходимо в рабочее и нерабочее  время хранить в специально оборудованных  шкафах или сейфах. Трудовые книжки работников необходимо хранить в сейфе отдельно от личных дел. По правилам в конце рабочего дня все личные дела должны сдаваться в отдел кадров. Доступ к персональным данным работников, которые хранятся в электронном виде, должен быть технически возможен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций. Все документы по личному составу должны обязательно сдаваться в архив.

     При передаче персональной информации относительно работника работодатель должен руководствоваться ст. 88 ТК РФ. В частности, работодатель обязан соблюдать требования, предусмотренные данной статьей.

     Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам (милиции и другим контролирующим органам) в порядке, установленном федеральным законом. Ни в коем случае нельзя давать подобную информацию по телефону. Основанием для передачи персональных данных работника является письменный запрос от должностного лица соответствующего государственного органа, а если представители контролирующих органов пришли к вам лично - служебное удостоверение и приказ, где указаны цели сбора подобной информации.

     Работодатель  должен обеспечить ведение журнала  учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о  лице, направившем запрос, дата передачи персональных данных или дата уведомления  об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

     Если  лицо, обратившееся с запросом, не уполномочено федеральным законом на получение  персональных данных работника, либо отсутствует письменное согласие работника на предоставление его персональных сведений (образец заполнения в приложении № 7), работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

     Работник имеет право на свободный бесплатный доступ к своим персональным данным, включая получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом (ст. 89 ТК РФ).

     Исходя  из положений «Перечня типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», утвержденного Росархивом 06.10.2000г., данные документы относятся к документам долговременного хранения и хранятся 50, 75 лет или постоянно.

     Бывший  работник вправе обращаться к работодателю за информацией относительно своей  прошлой работы и информации, которая  осталась храниться у бывшего  работодателя, поскольку она затрагивает  права и свободы работника  и может быть необходима для их реализации. Работнику могут понадобиться данные, например, о зарплате, которую он получал, состоя в трудовых отношениях с прежним работодателем, о выполняемых им трудовых функциях и другие сведения. Работодатель обязан не позднее трех дней со дня письменного обращения к нему бывшего работника предоставить надлежащим образом заверенные документы, связанные с работой у него этого работника.

     Таким образом, вышеизложенные статьи главы 14 «Защита персональных данных работника» ТК РФ обязывают работодателя принять локальный нормативный акт, устанавливающий порядок обработки, хранения и передачи персональных данных работников, а также их права и обязанности в этой области.

     Работодателю  целесообразно включить в состав кадровой документации Положение о  защите персональных данных работников (примерный образец заполнения в приложении № 4) . Данное положение является локальным нормативным актом, в котором регламентируются требования по обработке персональных данных работника, хранению и использованию персональных данных и гарантии их защиты. Положение о персональных данных работников относится к разновидности обязательных кадровых документов, прямо предусмотренных ТК РФ.

     В соответствии с требованиями Трудового  кодекса РФ, в Положение целесообразно  включить следующие разделы:

• цели и задачи обработки персональных данных, основные понятия;
• законодательные акты - основания для разработки Положения;
• порядок ввода в действие и внесения изменений в Положение;
• перечень обрабатываемых персональных данных;
• перечень структурных подразделений и носителей информации, в которых накапливаются и хранятся персональные данные работников;
• способ сбора персональных данных и источник их получения (на основании пункта 3 статьи 86 ТК РФ);
• перечень лиц (по должностям), которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• способы обработки и использования персональных данных, применяемые работодателем;
• сроки обработки персональных данных, в том числе сроки их хранения;
• меры защиты персональных данных от несанкционированного доступа не только у данного работодателя, но и относительно третьей стороны;
• ответственность за разглашение конфиденциальной информации, связанной с персональными данными работника.

     Положение принимается работодателем единолично, оно вступает в силу после процедуры  утверждения. Утверждает Положение  о персональных данных работника  руководитель организации или уполномоченное им лицо – для юридических лиц, или работодатель - индивидуальный предприниматель.

     Работник  должен быть ознакомлен с Положением о персональных данных под роспись. Роспись об ознакомлении с положением содержит следующие данные: фамилия, имя, отчество работника, структурное подразделение, должность, дата, подпись.

     Необходимость защиты персональных данных, обрабатываемых операторами, обусловлена не только тем, что с 1 января и не позднее 1 июля 2011г. все информационные системы персональных данных должны быть приведены в соответствие с Федеральным Законом о персональных данных, но и тем, что последствия неправомерных действий с персональными данными приводят к ущербам на уровне личности, общества и государства.

     К особенности персональных данных следует  отнести то, что данный вид информации охватывает многие виды тайн, представленных в различных федеральных законах, при этом осуществить адекватную оценку ущерба от неправомерного доступа к персональным данным представляется достаточно сложным.

     Так для операторов нарушение конфиденциальности обрабатываемых персональных данных не только негативно сказывается на репутации, но и способно привести к гражданской, административной, и уголовной ответственностям, кроме того, потенциально возможно приостановление действия или аннулирование лицензии на право заниматься основным видом деятельности.

     Первоочередная  задача, стоящая перед операторами в части защиты персональных данных, заключается в рациональном и эффективном выполнении комплексных требований по защите персональных данных.

     Так для начала, согласно закону о персональных данных № 152-ФЗ, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзора), операторы ПД должны выполнить ряд действий:

1. Направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных (ст. 22 п. 3)
2. Получить письменное согласие субъекта персональных данных на обработку своих данных (ст. 9 п. 4) (образец заполнения в приложении № 5)
3. Уведомить субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (ст. 21 п. 4)

     Уведомление об обработке персональных данных не требуется, если оператор персональных данных и субъект персональных данных находятся в трудовых отношениях или иных договорных отношениях (ст. 22 п. 2). 
 
 
 

3. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.

     В целях защиты частной жизни личности в связи со сбором персональных данных, важное значение имеют контроль за правомерностью действий владельцев информации в организации работодателя и юридическая ответственность за нарушение установленных законодательством правил работы с персональными данными работника.

     Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной, а также к административной, гражданско-правовой и уголовной ответственности в порядке, установленном федеральными законами (ст. 90 ТК РФ). Отметим, что статья 24 Закона № 152-ФЗ дублирует статью 90 ТК РФ.

3.1. Дисциплинарная и материальная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.

     На  работника, ненадлежащим образом относящегося к хранению и сбережению указанной информации, сведений, может быть наложено дисциплинарное взыскание, также на лиц допустивших ее порчу или утрату.

     Виновные в таких нарушениях несут дисциплинарную ответственность в соответствии ст. 192-195 гл. 30 ТК РФ.

     За  совершение дисциплинарного проступка, т.е. неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей (в том числе обязанности соблюдения установленного порядка работы со сведениями конфиденциального характера), работодатель вправе применить одно из предусмотренных ст. 192 ТК РФ дисциплинарных взысканий (замечание, выговор, увольнение по соответствующим основаниям) в порядке, установленном ст. 193 ТК РФ.

     За  разглашение сведений, составляющих охраняемую законом тайну (государственную, коммерческую, служебную или иную), ставшей известной работнику в связи с выполнением им своих трудовых обязанностей, может последовать расторжение трудового договора (подп. "в" п. 6 ст. 81 ТК РФ). Кроме того, на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, может быть возложена обязанность возместить причиненные этим убытки (п. 7 ст. 243 гл. 39 ТК РФ).

     В случае нарушения работодателем  законодательства об обработке и  защите персональных данных, работники вправе их обжаловать в судебном порядке (ст. 89 ТК РФ), а также требовать возмещения убытков и компенсации морального вреда. Следует иметь в виду, что в соответствии со ст. 208 ГК РФ на требования о защите личных неимущественных прав, к числу которых относятся и права работников на защиту персональных данных, включая право на сохранение тайны личной и семейной жизни, сроки исковой давности не распространяются.

     В соответствии со статьей 57 Закона от 27.07.04 г. № 79-ФЗ за совершение дисциплинарного проступка, то есть за неисполнение или ненадлежащее исполнение гражданским служащим по его вине возложенных на него должностных обязанностей, представитель нанимателя имеет право применить следующие дисциплинарные взыскания:

• замечание;
• выговор;
• предупреждение о неполном должностном соответствии;
• освобождение от занимаемой должности гражданской службы;
• увольнение с гражданской службы по основаниям, установленным пунктом 2, подпунктами "а" - "г" пункта 3, пунктами 5 и 6 части 1 статьи 37 настоящего Федерального закона.