И гарантии их защиты
Общие требования при обработке персональных данных
Понятие персональных данных работника,
Передача персональных данных работника.
Понятие персональных данных работника, общие требования при обработке персональных данных и гарантии их защиты.
Лекция 14. Защита персональных данных работника
Согласно ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени. Реализация данного права обеспечивается положением ст. 24 Конституции, устанавливающим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Всеобщая декларация прав человека (ст. 12) провозглашает, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств. Аналогичное правило содержится в Международном пакте о гражданских и политических правах (ст. 17).
Нормы, регламентирующие порядок защиты персональных данных работника, впервые появились в отечественном трудовом законодательстве только с принятием Трудового кодекса РФ. Они содержатся в гл. 14 ТК РФ, входящей в раздел «Трудовой договор». Включение в Кодекс понятия «персональные данные работника» обусловлено необходимостью упорядочения отношений по получению и использованию работодателем информации о работнике личного характера, формирования четких правил защиты данной информации от ее неправомерного использования.
Согласно ст. 85 ТК РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Указанное определение основано на положениях Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г, в ст. 2 которой под «персональными данными» понимается информация, касающаяся конкретного или могущего быть идентифицированным лица (субъекта данных).
Статья 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). При этом под информацией, согласно Федеральному закону от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации», понимаются любые сведения (сообщения, данные) независимо от формы их представления.
Персональные данные работников могут быть двух видов: 1) данные, представляющие собой факты, не подлежащие субъективной оценке (например, специальность работника, приобретенная им по окончании учебного заведения); 2)данные оценочного характера, которые могут, в частности, содержаться в характеристике работника, заключении аттестационной комиссии и т. п.
Все сведения, составляющие информацию о работнике, по срокам их получения и нахождения у работодателя могут быть подразделены на три группы:
а) сведения, представляемые работником при приеме на работу;
б) сведения, создаваемые и получаемые работодателем в период трудовой деятельности работника;
в) сведения о работнике, хранящиеся у работодателя после прекращения с ним трудовых отношений.
Под обработкой персональных данных Конвенция от 28 января 1981 г. понимает накопление данных, проведение логических и (или) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение. Статья 85 ТК РФ в принципе аналогично определяет понятие обработки персональных данных работника — как получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
Как видно, законодатель определил четыре формы обработки персональных данных в сфере трудовых отношений — получение, хранение, использование и передача.
Персональные данные работников, т. е. та информация, которой обладает работодатель, как в условиях ее ручной обработки, так и в случае использования автоматизированных информационных систем может стать в определенной мере открытой и привести к ущемлению их интересов и прав, причинить моральный вред и материальный ущерб. В связи с этим в ТК РФ закрепляются принципы, лежащие в основе обработки персональных данных работника, положения о порядке их хранения и использования в организации, о передаче персональных данных, правах работника по их защите, об ответственности лиц за невыполнение требований норм, регулирующих обработку и защиту персональных данных работника.
В соответствии со ст. 7 Закона о персональных данных и п. 1 Перечня сведений конфиденциального характера, утвержденного Указом Президента РФ от 6 марта 1997 г. № 188, персональные данные работника как сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, относятся к числу сведений конфиденциального характера. Такой правовой режим персональных данных работника предполагает особый порядок работы с указанными данными и особый режим их охраны.
Конвенция Совета Европы «О защите физических лиц, при автоматизированной обработке персональных данных» предъявляет достаточно жесткие требования к работе с персональными данными. Персональные данные должны: быть получены и обработаны добросовестным и законным образом; накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями; быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются; быть точными и при необходимости обновляться; храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой они накапливаются.
Основные принципы обработки персональных данных в Российской Федерации соответствуют требованиям указанной Конвенции и содержатся в ст. 5 Закона о персональных данных. К ним относятся: 1) законность целей и способов обработки персональных данных; 2) соответствие целей обработки данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; 3) соответствие объема и характера обрабатываемых персональных данных и способов их обработки целям обработки персональных данных; 4) достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки данных, избыточных по отношению к целям, заявленным при сборе персональных данных; 5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Кроме того, установлено, что обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 6 указанного Закона.
В ст. 86 ТК РФ содержатся следующие требования к российским работодателям и их представителям, направленные на обеспечение прав и свобод человека и гражданина при обработке персональных данных работника.
1. Обработка персональных данных работника может осуществляться исключительно в целях: обеспечения соблюдения законов и иных нормативных правовых актов; содействия работникам в трудоустройстве, обучении и продвижении по службе; обеспечения личной безопасности работников; под оператором понимается государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных. Следовательно, любой работодатель является оператором персональных данных своих работников контроля количества и качества выполняемой работы; обеспечения сохранности имущества.
2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами.
Так, согласно ст. 65 ТК РФ при приеме на работу работодатель получает о работнике следующую информацию: о трудовом стаже, подтверждаемом трудовой книжкой; о регистрации работника в системе обязательного пенсионного страхования, подтверждаемую соответствующим страховым свидетельством; о состоянии работника на воинском учете, подтверждаемую документами воинскою учета; об образовании, квалификации работника, наличии у него специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки); о возрасте работника, дате и месте его рождения, месте регистрации, подтверждаемую паспортом или иным документом, удостоверяющим личность; о наличии или отсутствии у работника семейных обязанностей, что подтверждается паспортом.
Перечень стандартизированных персональных данных работника, получаемых от него работодателем, можно также определить на основании постановления Госкомстата РФ от 5 января 2004 г. № 1, которым, в частности, утверждена форма личной карточки работника. К сведениям, содержащимся в карточке, кроме перечисленных выше относятся данные о знании иностранного языка, иных ближайших родственниках (кроме супруга и детей), фактическом адресе места жительства, номере домашнего телефона. Но поскольку получение указанной информации не предусмотрено федеральным законом, отказ работника от ее предоставления не может повлечь для него неблагоприятных последствий.
В силу своих обязанностей налогового агента работника (ст. 24 Налогового кодекса РФ) работодатель также должен иметь информацию об идентификационном номере налогоплательщика — физического лица (если такой номер имеется), а также информацию, на основании которой производятся налоговые вычеты (инициативу в ее предоставлении, как правило, проявляет сам работник).
В отдельных случаях, установленных федеральными законами, работодатель может получать информацию о состоянии здоровья работника путем проведения медицинского освидетельствования при заключении трудового договора, периодических и внеочередных медицинских осмотров (ст. 213 ТК РФ), и информацию о дактилоскопической регистрации работников.
3. Все персональные данные работника следует получать у него самого. Если персональные данные работника, возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Извещение работника о предполагаемом получении его персональных данных у иного лица обычно осуществляется в форме соответствующего уведомления, предъявляемого работнику под расписку. При отказе работника составляется акт.
4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Информация о религиозных убеждениях работника может иметь крайне существенное значение при заключении работником трудового договора с религиозной организацией, если его трудовая функция предполагает участие в совершении религиозных обрядов.
Данные о частной жизни предоставляются непосредственно работником в целях реализации его трудовых прав и интересов. К информации о частной жизни относятся, прежде всего, данные о семейных обязанностях работника, наличии или отсутствии детей, их возрасте.
5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.
Так, Трудовой кодекс обязывает работодателя перед увольнением работника, являющегося членом профсоюза, в определенных случаях испросить мотивированное мнение органа первичной профсоюзной организации (ст. 82). Соответственно, Кодекс фактически обязывает работодателя собирать и обрабатывать информацию о членстве работника в конкретном профсоюзе и о его профсоюзной деятельности, а профессиональный союз — предоставлять такую информацию по запросу работодателя.
6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Указанное правило введено в связи с тем, что базы данных, хранящиеся в электронном виде, в большей мере, чем информация, содержащаяся на бумажном носителе, доступны для неправомерного внедрения и изменения или для корректировки, осуществляемой в результате сбоя в компьютерной программе.
7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ или иными федеральными законами.
Защита персональных данных, как и защита любой информации, согласно ст. 16 Федерального закона «Об информации, информационных технологиях и защите информации», представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий; соблюдение конфиденциальности информации ограниченного доступа; предотвращение угроз безопасности личности, общества, государства; реализацию права на доступ к информации.
Защите подлежат любые персональные данные работника, неправомерное обращение с которыми может причинить ущерб как ему (собственнику информации), работодателю (владельцу информации), пользователю информацией, так и иному лицу.
Основные принципы защиты данных личного характера получили закрепление в Конвенции Совета Европы 1981 г. «О защите физических лиц при автоматизированной обработке персональных данных» и Кодексе практики по защите личных данных о работнике, разработанном и одобренном МОТ в 1996 г.
8. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов. Персональные данные работника хранятся в документированной форме, характер которой также определяется работодателем. Стандартизированный перечень документации по учету труда и его оплаты установлен постановлением Госкомстата РФ от 5 января 2004 г. № 1. Документы, содержащие информацию о конкретном работнике, формируют его личное дело. Сроки хранения персональных данных работников определяются на основании Перечня типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения, утвержденного руководителем Федеральной архивной службы России 6 октября 2000 г.
Как полагают специалисты, работодатель должен разработать специальный локальный нормативный правовой акт, который должен включать: перечень сведений, относящихся к персональным данным работника по различным категориям должностей; порядок получения персональных данных у третьих лиц, включая последствия для работника в случае его отказа дать согласие на их получение; порядок обработки, хранения и использования персональных данных с установлением индивидуальных обязанностей представителей работодателя и ответственности за их нарушение; права и обязанности работников на защиту своих персональных данных; порядок ознакомления с актом всех работающих, а также вновь принятых на работу работников.
9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Отказ от указанных прав может нарушить неприкосновенность частной жизни работников, их личную и семейную тайну, причинить моральный и материальный ущерб.
10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
В частности, представители работников могут участвовать в разработке локального нормативного акта, регламентирующего порядок хранения и использования персональных данных работников.