Персональные данные работника

2. Защита персональных данных работника.

2.1. Понятие, субъект  и объект защиты  персональных данных работника.

     Трудовой  кодекс РФ, вступивший в силу с 01.02.2002 года, впервые на кодифицированном уровне закрепил основополагающие требования о защите персональных данных работника (гл. 14 ст. 85-90 ТК РФ). Работа любой кадровой службы организации связана с подбором персонала, а также с накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений о работниках. Эти сведения помогают работодателю более точно определить деловые качества работника. Следует отметить, сто термин «деловые качества», упоминаемый, в частности, в ст. 3, 64 ТК РФ, законодатель не расшифровывает⁴. Можно предположить, что работодатель может ориентироваться на следующий перечень критериев оценки деловых качеств будущего работника:

• деловая ориентация – установка работника на продуктивную деятельность по достижению результатов;
• способность к обучению – способность работника к поиску  новых знаний, овладение умениями и навыками;
• организаторские способности;
• коммуникативные способности;
• упорство, целеустремленность и решительность при выборе вариантов развития событий;
• способность к сотрудничеству и межличностные контакты.

     Процесс выявления названных критериев, характеризующих деловые качества работника, безусловно, достаточно, сложный. По определению американского Общества по управлению кадрами, работа с персоналом -  это «искусство набирать, подготавливать и сохранять квалифицированную рабочую силу таким образом, чтобы добиться максимальной эффективности и экономии при выполнении функции и достижения целей организации».

     Прием работника по деловым качествам предлагает применение определенных приемов сбора сведений о работнике, с тем, чтобы они достаточно полно выявили заранее обозначенный круг критериев, необходимых для занятия той или иной должности с вероятной степенью достоверности и надежности, т.е. работодатель фактически осуществляет сбор персональных данных работника⁵.

     В юриспруденции неприкосновенность частной жизни рассматривается  как гарантированные государством возможность и права человека самостоятельно контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера⁶.

     Право на неприкосновенность частной жизни  относится к категории личных неимущественных прав, традиционно  защищаемых гражданским правом. Как любое личное неимущественное право, оно обладает рядом специфических признаков:

• во-первых, оно принадлежит конкретному гражданину в силу закона, является неотчуждаемым и не передаваемым другим лицам иным способам, кроме случаев, предусмотренных законом.
• во-вторых, оно является абсолютным, т.е. управомоченному лицу противостоит неопределенный круг лиц, обязанных воздерживаться от нарушения права.
• в-третьих, для данного права характерно наличие лишь двух правомочий.
1. возможности прибегнуть в случае нарушения его права к установленным законом мерам защиты;
2. возможности уполномоченного лица требовать от неопределенного круга обязанных лиц, воздерживаться от нарушения его права.

     На  сохранение конфиденциальности тайны  сведений о работнике, помимо ТК РФ, направлен ряд других законов. Так, в соответствии с Основами законодательства РФ об охране здоровья граждан информация, содержащаяся в медицинских документах гражданина составляет врачебную тайну и может предоставляться без его согласия только по мотивам, предусмотренным Основами. Не допускается разглашения сведений врачебной тайны лицами, которым они стали известны при обучении, исполнении профессиональных и иных обязанностей, кроме случаев установленных ч. 4 ст. 61 Основ.

     Работодатель, кроме того, не имеет право запрашивать информацию о состоянии здоровья работников, за исключением случаев, когда существует необходимость получения таких сведений, связанных с выполнением работником трудовой функции. В частности, допустимо обращение за информацией о состоянии здоровья беременной женщины при решении вопроса о ее переводе на другую работу.

     В целях обеспечения защиты персональных данных, хранящиеся у работодателя в соответствии со ст. 89 ТК РФ работники  имеют право:

• на полную информацию об их персональных данных и обработке этих данных;
• свободный бесплатных доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев предусмотренных федеральным законом;
• определение своих представителей для защиты своих персональных данных;
• доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
• требование об использовании неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить работодателю в письменной форме о своем несогласии с соответствующем обосновании. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
• требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполноценные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника.

     Закрепление прав работника, предусматривающих  защиту его персональных данных, обеспечивает сохранность полной информации о нем.

     Субъектами  персональных данных являются граждане Российской федерации, иностранные граждане и лица без гражданства, находящиеся на территории РФ, к личности которых относятся соответствующие персональные данные. Держатели персональных данных – органы государственной власти и местного самоуправления, работодатели всех организационно-правовых форм хозяйствования, осуществляющие владение и пользование этими данными.

     Проще говоря, субъектами таких отношений  выступает работник, его представитель, работодатель, должностные лица, осуществляющие обработку персональных данных работника, а также третьи лица, получающие (или представляющие) информацию о работнике.

     Необходимо  отметить, касаясь субъективного  состава, что в главе 14 ТК РФ правом на защиту персональных данных наделяется работник, т.е. физическое лицо, вступившее в трудовые отношения с работодателем. Но на стадии подбора персонала трудовые отношения еще отсутствуют. Соискатель в ТК РФ обозначен как «Лицо, поступающее на работу» (ст. 65). Но в отношении такого лица каких-либо оговорок гл. 14 ТК РФ не содержит. Следовательно, только в том случае, если соискатель стал работником, от него можно требовать сведения, относящиеся к персональными данным, работа с которыми должна осуществляться по нормам статей 86-89 ТК РФ.

     Объектами отношений по защите персональных данных работника являются непосредственно  сами «персональные данные».

     Итак, под защитой персональных данных работника понимается деятельность управомочных лиц (работодателя, должностных лиц работодателя) по обеспечению конфиденциальности информации о конкретном работнике, полученной работодателем в связи с трудовыми отношениями.

     Защита  персональных данных обеспечивается системой правовых (локальное регулирование  порядка обработки персональных данных) и организационно-технических мер.

     Защита  нарушений прав в сфере защиты персональных данных обеспечивается мерами государственного принуждения (мерами дисциплинарной, административной, гражданско-правовой и уголовной ответственности) в  соответствии с федеральными законами.

2.2. Деятельность работодателя по обработке персональных данных работника.

     Взаимоотношения работодателей и работников всегда связаны с накоплением, обработкой, хранением и использованием значительных объемов персональной информации. При выполнении данной деятельности работодатель и его представители в целях обеспечения прав и свобод человека обязаны соблюдать общие требования, установленные статьей 86 ТК РФ. Данная статья устанавливает общие принципы, соблюдение которых работодателем обязательны.

     К примеру, обработка персональных данных работника может осуществляться исключительно в целях обеспечения  соблюдения законов и иных нормативных  правовых актов, содействия работникам в трудоустройстве, обучении и продвижении  по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

     Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных⁷.

     Получение персональных данных должно производиться  непосредственно у работника. В некоторых случаях персональные данные, возможно, получить только у третьей стороны. Например, сведения о профессиональном обучении и если работник не может предоставить дополнительные данные, ссылаясь на утерю диплома и пр., когда работодатель сомневается в достоверности записей в трудовой книжке, подлинности получения документа об образовании или достоверности медицинского документа.

     Любые действия по сбору дополнительной информации и проверке предоставленных сведений требуют особой правовой осторожности, в силу того, что эти действия часто балансируют на грани, определенной законом.

     Во-первых, любую новую информацию можно  получать только в связи с подтверждением документов и информации, перечисленной  в ст. 65 ТК РФ.

     Во-вторых, требование работодателя о предоставлении дополнительных данных и подтверждении информации во всех случаях должно быть мотивировано (например, в целях перевода работника на другую, более высоко оплачиваемую должность).

     В-третьих, если информация собирается не от самого работника – он должен быть уведомлен работодателем о намерении получить персональные данные у третьей стороны, а также о цели, предполагаемых источниках и способах получения персональных данных, их характере, последствиях отказа работника дать письменное согласие на их получение (пункт 3 статьи 86 ТК РФ) и, в-четвертых, всегда, когда информация получается от третьих лиц, работодатель должен получить письменное согласие работника (образец заполнения в приложении № 6).

     Требование  дачи письменного согласия на проведение проверки любой предоставленной информации вообще, как и сама такая проверка, при которой перечисленные условия не соблюдены, незаконна и может быть обжалована в суд. Одним из распространенных нарушений кадровых служб при приеме на работу является предложение заполнить в анкетах следующие пункты: «Не возражаю против получения данных обо мне в...» или «Не возражаю против проверки представленных данных». Включение в анкеты пункта такого содержания противоречит как Конституции РФ, так и трудовому законодательству. Работодатель не вправе требовать согласия работника на проверку предоставленной работником личной информации, даже такое согласие получено, он не имеет права проводить проверку (ст. 22 ТК РФ). Согласно пункту 9 статьи 86 ТК РФ работники не должны отказываться от своих прав на сохранение и защиту своей личной, семейной тайны. Поэтому все расписки работника, акты, содержащие подобный отказ являются незаконными.

     Защита  персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств, в порядке, установленном настоящим Кодексом и иными федеральными законами.

     Работодатель  обязан обеспечить такой порядок  хранения персональных данных, который  бы ограничивал несанкционированный  доступ к ним. Для обеспечения  конфиденциальности персональных данных необходимо решение следующих задач:

• четкая регламентация должностных обязанностей лиц, которых связаны с обработкой персональных данных (в трудовом договоре и (или) должностной инструкции необходимо прописать права, обязанности, ответственность данных должностных лиц за несоблюдение конфиденциальности и правил хранения персональных данных);
• наличие четкой разрешительной системы доступа к документам, содержащим персональные данные;
• регулярного контроля за наличием и сохранностью документов, содержащих персональные данные, как в отделе кадров, так и в других структурных подразделениях организации.

     Число людей, которые могут иметь доступ к персональной информации работников должно быть ограничено списком лиц, доступ которых к персональным данным необходим для выполнения их служебных (трудовых) обязанностей. Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в локально нормативных актах организации. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, руководитель организации, работодатель – индивидуальный предприниматель, руководители структурных подразделений. Таким образом, работники бухгалтерии, которые вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, данные требующие для персонифицированного и налогового учета).