Защита персональных данных работника
Содержание:
Общие положения
Работодатель всегда заинтересован в получении максимально полной информации о работниках, в то время как интерес работников направлен на защиту своего личного пространства. Попытка найти баланс интересов сторон трудового договора при разрешении данного вопроса была впервые предпринята при принятии ТК РФ, ранее трудовое законодательство не регулировало вопросы обработки и защиты персональных данных работников.
Одним из первых нормативных актов, выделивших персональные данные как особую категорию конфиденциальной информации, был Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», определивший персональные данные как «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность» (при этом требование о соблюдении конфиденциальности не распространялось на персональные данные, подлежащие распространению в средствах массовой информации в установленных федеральными законами случаях).
В настоящее время регулирование обработки и защиты персональных данных граждан осуществляется на основе Конституции РФ, Федеральных законов от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», № 152-ФЗ «О персональных данных», постановлений Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» и ряда других нормативных правовых актов. Обработка и защита персональных данных работников, в первую очередь, регулируется положениями гл. 14 ТК РФ.
Согласно Федеральному закону «О персональных данных» персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В Федеральном законе «О персональных данных» также содержится определение понятия «обработка персональных данных» – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Все перечисленные действия могут совершаться как с использованием средств автоматизации (средств вычислительной техники), так и без использования таких средств. Понятия, используемые в гл. 14 ТК РФ, раскрыты в Федеральном законе «О персональных данных»:
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
При обработке персональных данных работников и лиц, поступающих на работу, работодатель обязан соблюдать требования, предъявляемые ТК РФ и иными федеральными законами. Федеральным законом «О персональных данных» сформулированы принципы обработки персональных данных и условия, при которых она осуществляется. При нарушении положений законодательства, регулирующего обработку персональных данных работника, виновные лица могут быть привлечены к ответственности.
Инструкция по работе с информацией
Закон устанавливает жесткие меры за нарушения, связанные с персональными данными
Поэтому важно знать правила работы с ними
Обработка
Под обработкой данных понимается их получение, проверка, передача, хранение, накопление, уничтожение и другие действия, совершаемые с ними. . Обработка может осуществляться лишь в строго определенных целях:
- содействие в трудоустройстве;
- обучение;
- контроль выполняемой работы.
В обработке не участвуют сведения о частной жизни работника, его убеждениях.
- Для работы с персональными данными составляется соответствующее Положение. Единой формы документа нет. В каждой организации она индивидуальна.
- При наличии в организации Профсоюза Положение согласовывается с ним.
- После окончательного утверждения Положения необходимо ознакомить с ним работников под роспись.
- Назначается сотрудник, ответственный за работу с данными. Это фиксируется в виде приказа. Список лиц, имеющих доступ к конфиденциальной информации, можно включить в этот же приказ или издать отдельный.
Больше информации о том, что такое обработка ПД, найдете в специальной статье.
Хранение
87 статья ТК РФ говорит о том, что работодатель должен установить порядок хранения и использования персональных данных сотрудника.
Подробнее о порядке хранения и использования ПД работников мы рассказываем в отдельном материале.
В бумажном виде
- Для осуществления хранения персональных сведений о сотрудниках работодателю рекомендуется организовать отдельное помещение с ограниченным доступом и использовать специальное оборудование. Необходимо принять меры от возможного уничтожения информации, организовать защиту от несанкционированного доступа. Документация в бумажном виде хранится в специальном сейфе, чтобы избежать ее утери или порчи.
- Часть документов хранится в оригинале. Сюда относится: трудовая книжка, трудовой договор, приказы руководителя относительно сотрудника. Часть документов хранится в виде копии: паспорт и др. Личное дело содержится в отдельной папке. Папки могут располагаться по алфавиту или по отделам организации. Бухгалтерские документы могут храниться в отдельных папках без привязки к работнику.
- Папки размещаются в сейф, к которому имеет доступ руководитель, кадровый работника, бухгалтер. Лица, имеющие доступ к конфиденциальной информации, подписывают соответствующее обязательство о неразглашении.
- Кадровый работник проводит инструктаж среди сотрудников относительно порядка хранения и доступа к документам.
В электронном виде
- Для хранения в электронном виде создается база данных.
- Документы сканируются и вносятся в базу.
- Приказом определяется те сотрудники, которые имеют к ней доступ: руководитель, кадровый отдел, бухгалтерия, программисты. Они подписывают обязательство о неразглашении.
- Каждому сотруднику, имеющему доступ, выдается индивидуальный логин и пароль. Впоследствии будет видно, кто и когда заходил базу.
- Для защиты от уничтожения создается резервная копия базы.
Порядок доступа
Защита персональных данных работника является обязанностью работодателя и осуществляется за его счет.
Информация должна быть защищена от несанкционированного доступа и от уничтожения.
- В Положении устанавливается порядок доступа к персональным данным и то, в какой степени человек может их получить.
- Приказом устанавливаются лица, имеющие доступ к информации. Они подписывают обязательство о неразглашении.
О том, что сотрудникам нужно знать о порядке доступа к их ПД, мы подробнее рассказываем тут.
Внесение изменений
Необходимость внести правок в личные сведения может возникнуть при смене паспорта, при рождении ребенка и в других случаях.
- В случае изменения личных данных работнику необходимо обратиться в отдел кадров. Правки производятся на основании заявления работника. Подача заявления не является обязательной, но будет уместной. К заявлению прилагаются копии новых документов.
- Документы заверяются уполномоченными лицами и прилагаются к личному делу.
- На основании заявления издается приказ о внесении изменений в учетные документы.
Использование
Использование персональных данных сотрудника возможно лишь в пределах его рабочей деятельности. Лицо, имеющее доступ к информации не имеет право использовать ее для личной выгоды. Сведения не могут передаваться сторонним организациям и частным лицам без согласия на то сотрудника (если иное не оговорено законом).
- В Положении устанавливается список персональных данных и возможные манипуляции с ними.
- Для того, чтобы использовать личную информацию о работнике, необходимо его согласие.
Что это за документы
К персональным данным относятся 2 типа документов: полученные при найме и относящиеся к деятельности сотрудника внутри организации.
Информация, полученная при найме работника, включает в себя:
- ФИО.
- Адрес проживания.
- Дату рождения.
- Семейное положение.
- Документы об образовании, прохождении курсов повышения квалификации.
- Паспортные данные.
- Другие сведения, необходимые для трудоустройства.
Примеры сведений, связанных с работой в конкретной организации:
- Документ о назначении на какую-то должность.
- Заработная плата. Расчетные документы.
- Любые внутренние приказы компании, относящиеся к сотруднику.
О том, что входит в понятие «Персональные данные сотрудника» мы более подробно рассказываем в этом материале.
Ответственность за нарушение норм, регулирующих обработку персональных данных
6.1. Работники Компании, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
6.2. Руководитель Компании за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.
Лист ознакомления с
Положением о персональных данных
Лист ознакомления работников ООО «Олимп»
с Положением о персональных данных, утвержденным Приказом N 39/к
от «12» января 2010 г., до подписания трудового договора
N п/п | Ф.И.О. работника | Дата ознакомления | Подпись |
1 | Горячев Сергей Иванович | 15.01.2010 | Горячев |
2 | Токарев Юрий Сергеевич | 15.01.2010 | Токарев |
Приложение № 5
ООО «Олимп»
Генеральному директору
Иванову И.И.
от Чижова Андрея Николаевича, слесарь
зарегистрированного по адресу:
623380, г. Полевской,
ул. Р.Люксембург, д. 4 кв. 108,
паспорт серия 65 03 N 456789
выдан 20.04.2007 г.
Полевским ГОВД Свердловской области
СОГЛАСИЕ
на обработку персональных данных
Я, Чижов Андрей Николаевич, в соответствии со статьей 9 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» даю согласие Обществу с ограниченной ответственностью «Олимп», расположенному по адресу: г. Полевской, ул. Ленина, дом 11, на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, а именно совершение действий, предусмотренных пунктом 3 статьи 3 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», со сведениями о фактах, событиях и обстоятельствах моей жизни, представленных в ООО «Олимп».
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
___________________________ Чижов А.Н.
29.03.2010
Приложение № 6
Генеральному директору
Иванову И.И.
от Чижова Андрея Николаевича,
зарегистрированного по адресу:
623380, г. Полевской,
ул. Р.Люксембург, д. 4 кв. 108,
паспорт серия 65 03 N 456789
выдан 20.04.2007 г.
Полевским ГОВД Свердловской области
СОГЛАСИЕ
на получение персональных данных от третьих лиц
Я, Чижов Андрей Николаевич, в соответствии со статьей 9 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» даю согласие Обществу с ограниченной ответственностью «Олимп», расположенному по адресу: г. Полевской, ул. Ленина, дом 11, на получение моих персональных данных о предыдущих местах работы и периодах трудовой деятельности от третьих лиц.
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
_________________ Чижов А.Н.
29.03.2009
Приложение № 7
ООО «Олимп»
Генеральному директору
Иванову И.И.
от Чижова Андрея Николаевича,
зарегистрированного по адресу:
623380, г. Полевской,
ул. Р.Люксембург, д. 4 кв. 108,
паспорт серия 65 03 N 456789
выдан 20.04.2007 г.
Полевским ГОВД Свердловской области
СОГЛАСИЕ
на передачу персональных данных третьей стороне
Я, Чижов Андрей Николаевич даю согласие Обществу с ограниченной ответственностью «Олимп», расположенному по адресу: г. Полевской, ул. Ленина, дом 11, на предоставление ЗАО «Коммерческий банк «Континент» следующих моих персональных данных для рассмотрения вопроса о предоставлении мне потребительского кредита:
-дата приема на работу;
-должность, по которой я выполняю трудовые обязанности в ООО «Олимп»;
-размер заработной платы.
Настоящее согласие действительно в течение одного месяца с момента его получения.
______________________ Чижов А.Н.
29.01.2010
Козлова Т.А. Персональные данные работника. Сбор, хранение, ответственность за достоверность и незаконное распространение // Управление персоналом. 2007. №6. С. 63-69
Анисимов Л.Н. Персональные данные работника: Требование к передаче // Справочник кадровика. 2006. №7. С. 24-28
Таблица составлена автором
Молодцов М.В., Головина С.Ю. Трудовое право России. Учебник для вузов. М.:НОРМА, 2003. С. 176
Карабельникова Б.А. Подход Верховного Суда РФ к проблемам применения ТК РФ // Юрист. 2004. № 14
Постановление Пленума ВС РФ от 12.03.2003 г. «Обзор судебной практики Верховного суда РФ за четвертый квартал 2002г. (по гражданским делам) // Бюллетень верховного суда РФ. 2003. № 7.
Пункт 3 статьи 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями)
Когда за разглашение информации могут уволить
Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Об этом прямо указано в п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ. К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных. Однако если работник узнал данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации) и в его должностные обязанности не входит работа с личными сведениями, увольнение по данному основанию будет являться незаконным.
Увольнение по этому основанию является мерой дисциплинарного воздействия, поэтому при его осуществлении следует соблюдать порядок наложения дисциплинарного взыскания, предусмотренный ст.193 ТК РФ.
В случае оспаривания работником увольнения по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые трудящийся разгласил, относятся к личным данным другого сотрудника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей, и он обязывался не разглашать такие сведения (п.43 Постановления Пленума ВС РФ «О применении судами РФ Трудового кодекса РФ»).
Судебная практика
Н. обратился в суд с иском о признании увольнении незаконным, возмещении морального вреда.
В судебном заседании было установлено, что Н. работал электромонтером и был вызван в отдел кадров для устранения порыва телефонного кабеля. Во время починки кабеля он успел прочитать соглашение об увольнении работника М. с выплатой значительной денежной компенсации, которое кадровик оставила без присмотра на своем рабочем столе. На следующий день Н. обратился к директору, заявив, что он тоже хочет уволиться по соглашению сторон с такой же денежной компенсацией. А получив отказ, обиделся и стал рассказывать об этой ситуации другим работникам. В результате приказом директора Н. был уволен по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных другого работника.
Решением суда исковые требования Н. были удовлетворены. Суд пришел к выводу, что в трудовые обязанности Н. работа с личными данными других сотрудников не входила, и данные сведения стали ему известны в результате халатности кадровика, который не обеспечил сохранность информации.