Персональные данные работника

Персональные данные, как информационные данные не возникают сами по себе, а являются результатом деятельности субъекта. В связи с этим персональные данные можно разделить на три группы:

1) персональные  данные, которые предоставляются  самим субъектом;

2) персональные  данные, которые появляются в  процессе использования субъектом  определенного сервиса;

3) персональные  данные, которые являются результатом  анализа данных первых двух  групп, в том числе посредством  инструментов аналитики «больших данных», и представляют собой оценку субъекта персональных данных.

Более полная классификация персональных данных обозначена в Федеральном законе «О персональных данных».

 

1.3 КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Закон о персональных данных выделяет три вида персональных данных (рисунок 3).

 

Рисунок 3 Категории персональных данных.3

 

В этой классификации персональные данные объединены в группы в зависимости от правового режима их оборота, определяемого различными методами правового регулирования.

С письменного согласия субъекта персональных данных широкому кругу лиц может быть предоставлен доступ к определенному количеству его персональных данных, именуемых общедоступными. При этом к категории общедоступных может относиться как данные о его фамилии, имени, отчестве, год и место рождения, адресе, абонентском номере, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных, так и биометрические. Главным условием будет являться письменное согласие субъекта персональных данных.

Общедоступные персональные данные могут быть включены в общедоступные источники информации, которые в соответствии со ст. 8 Закона о персональных данных представляют собой справочники, адресные книги и.т.д.  По решению суда или иных уполномоченных государственных органов, а также по требованию субъекта персональных данных общедоступные данные о субъекте могут быть исключены из общедоступных источников информации.

В особую группу персональных данных, именуемую специальными категориями персональных данных, законодателем выделены данные, касающиеся касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта. Обработка специальных категорий данных сопряжена с необходимостью соблюдения повышенного уровня защиты в связи с тем, что разглашение вышеуказанных данных может повлечь существенное нарушение конституционных прав субъекта.

Физиологические и биологические особенности человека, на основании которых можно установить личность представляют собой биометрические персональные данные. Обработка биометрических персональных данных производится только при наличии письменного согласия субъекта персональных данных. В случае если обработка биометрических персональных данных производится в связи с выполнением оператором функций по реализации международных договоров, осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации, согласия субъекта биометрических персональных данных не требуется.

 

2 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

2.1 ПОНЯТИЕ, СУБЪЕКТ  И ОБЪЕКТ ЗАЩИТЫ  ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

 

Субъектный состав правоотношений в сфере персональных данных довольно широк. Закон о персональных данных выделяет следующие виды субъектов:

-государственные  органы;

-муниципальные  органы;

-юридические  лица;

-физические  лица

Более сложными субъектами правоотношений в сфере персональных данных являются:

-оператор  персональных данных;

-субъект  персональных данных.

 -уполномоченный орган по защите прав субъектов персональных данных

В соответствии с Законом о персональных данных государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами осуществляющее непосредственное взаимодействие с персональными данными, в частности обработку, именуется оператором персональных данных.

 По логике действующего законодательства, любой работодатель, в свете выполняемых функций по сбору, обработке и хранению персональных данных работника является оператором персональных данных.

Физическое лицо, которое на основе персональных данных может быть однозначно идентифицировано, именуется субъектом персональных данных. С точки зрения трудового законодательства субъектом персональных данных является работник.

Все персональные данные работодатель обязан получать непосредственно у субъекта персональных данных - работника. Работник же имеет право на полный свободный и бесплатный доступ к своим персональным данным, а также на информацию о действиях по обработке своих персональных данных. При необходимости работник имеет право требовать исключения или исправления неверных или неполных персональных данных. Работник также имеет право доступа к медицинской документации, отражающей состояние его здоровья. Работник вправе обжаловать в суде любые неправомерные действия работодателя при обработке и защите персональных данных.

При трудоустройстве работник предоставляет работодателю значительный объем персональных данных. В целях защиты персональных данных, хранящихся у работодателя,  доступ субъекта персональных данных ко всем этапам их обработки является фактором дополнительного контроля. А закрепление прав работника, предусматривающих защиту его персональных данных в трудовом законодательстве, обеспечивает сохранность полной информации о нем.

Объектами отношений по защите персональных данных работника являются непосредственно сами персональные данные, то есть любая информация, относящаяся к прямо или косвенно определяемому лицу – субъекту персональных данных.

В целях соблюдения прав и свобод человека оператор персональных данных при их обработке обязан предпринимать меры по защите персональных данных, обеспечению конфиденциальности полученной информации, в том числе при обработке персональных данных.

 

 

 

 

2.2 ДЕЯТЕЛЬНОСТЬ РАБОТОДАТЕЛЯ ПО  ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ  РАБОТНИКА

 

Как уже отмечалось выше, возникновение трудовых правоотношений не возможно без обмена информацией между работником и работодателем, в том числе и персональными данными.

С точки зрения Закона о персональных данных работодатель – оператор персональных данных обязан соблюдать меры предосторожности при обработке персональных данных работника – субъекта персональных данных, с целью обеспечения его прав и свобод.

В настоящее время законодателем сформированы общие требования при обработке, передаче, хранении и использовании персональных данных работника и гарантии их защиты, закрепленные в статьях 86-88 Трудового кодекса Российской Федерации.

В соответствии с пунктом 3 статьи 3 Закона о персональных данных под обработкой персональных данных понимаются определенные действия или операции с персональными данными, включающие в себя их сбор, систематизацию накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

В процессе деятельности по трудоустройству работодатель обязан получать все необходимые персональные данные непосредственно у работника. При необходимости получения данных работника у третьей стороны, в обязанность работодателя входит обязательное уведомление работника и получение его письменного согласия. При этом работник информируется о целях, источниках, способах получения и характера запрашиваемых персональных данных, а также последствиях отказа от их получения. Также не допускается получение и обработка специальных категорий персональных данных работника.

Стоит отметить, что цели обработки персональных данных работодателем строго регламентированы, так обработка персональных данных работника может осуществляться в целях:

- обеспечения соблюдения законов и иных нормативных правовых актов

- содействия работникам в трудоустройстве

- получения образования и продвижения по службе

- обеспечения личной безопасности работников

- контроля количества и качества выполняемой работы

- обеспечения сохранности имущества

Как уже отмечалось выше, обязанностью работодателя является обеспечение безопасности персональных данных работника при их обработке. Защита персональных данных работника от неправомерного использования или утраты, обеспечивается за счет работодателя.

Особое значение защита персональных данных работника приобретает в процессе их оборота, так как увеличивается вероятность утраты или неправомерного использования персональных данных.

Одной из гарантий защиты персональных данных работника является неукоснительное соблюдение установленных статьей 88 Трудового кодекса требований при их передачи.

Любое сообщение персональных данных третьей стороне возможно лишь с письменного согласия работника, ровно как и сообщение персональных данных работника в коммерческих целях. Участие и контроль работником процесса обработки и передачи его персональных данных существенно влияет на степень их защищенности, и позволяет снизить вероятность нарушения конституционных прав работника.

В связи с необходимостью обеспечения режима конфиденциальности при получении персональных данных, работодатель обязан требовать от лиц, осуществляющих обработку персональных данных соблюдения правила использования полученных данных в целях, для которых они сообщены. Предупреждение лиц, осуществляющих обработку персональных данных, является обязательным. В связи с чем, на уровне организации, целесообразно вести журнал ознакомления лиц с правилами оборота персональных данных.

На основании Закона о персональных данных и трудового законодательства также целесообразно издание в организации локального нормативного акта – положения об обработке персональных данных, ознакомление работника с которым обязательно под роспись. Данным локальным нормативным актом в пределах организации регулируется в частности процесс передачи персональных данных.

Помимо лиц, непосредственно осуществляющих работу с персональными данными работника, доступ к данной информации имеют специально уполномоченные лица, представители работников, однако спектр получаемых ими данных ограничен выполняемыми ими функциями.

Таким образом, деятельность работодателя по обработке персональных данных довольно хорошо регламентирована действующим законодательством, однако во избежание компрометации полученных от работника данных и их незаконного распространения, работодателю следует ввести в кадровый документооборот ряд локальных нормативных актов, регулирующих оборот персональных данных в организации. Целесообразно также ввести персональную ответственность лиц, осуществляющих непосредственную работу с персональными данными, а также предпринять меры физической защиты персональных данных в виде оснащения кадровых отделений сейфами и оборудованными архивами.

 

 

 

 

 

 

 

 

 

 

 

 

3 . ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

 

Традиционно российское право понимает под ответственностью определенную «меру государственного принуждения, основанную на юридическом и общественном осуждении поведения правонарушителя и выражающуюся в установлении для него определенных отрицательных последствий в форме ограничений личного или имущественного порядка».

Анализ специальных норм законодательства РФ по данному вопросу позволяет сделать вывод о том, что за нарушение норм, регулирующих обработку и защиту персональных данных, потенциально применяются следующие виды ответственности:

1) административная ответственность, предусмотренная КоАП РФ;

2) гражданско-правовая ответственность, предусмотренная ГК РФ;

3) дисциплинарная и материальная  ответственность, предусмотренная  ТК РФ;

4) уголовная ответственность, предусмотренная  УК РФ.

При этом возможно одновременное применение нескольких видов ответственности, например, оператор может быть привлечен за определенное нарушение к административной ответственности, что не исключает возможности субъекта персональных данных требовать возмещения убытков и (или) компенсации морального вреда. Ответственные должностные лица оператора также могут быть привлечены к дисциплинарной и (или) административной или уголовной ответственности.

 

 

 

3.1 ДИСЦИПЛИНАРНАЯ И МАТЕРИАЛЬНАЯ  ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ  НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И  ЗАЩИТУ ПЕРСНАЛЬНЫХ ДАННЫХ РАБОТНИКА.

На работника, ненадлежащим образом относящегося к хранению и сбережению указанной информации, сведений, может быть наложено дисциплинарное взыскание, также на лиц допустивших ее порчу или утрату.

Дисциплинарная ответственность наступает за совершение дисциплинарного проступка, под которым понимается виновное нарушение правил внутреннего трудового распорядка, невыполнение или ненадлежащее выполнение трудовых обязанностей.