Защита персональных данных работника

В результате изучения материалов главы 11 обучающийся должен:

знать

• • понятие персональных данных, их виды;
• • принципы, условия и порядок обработки персональных данных;
• • права работника в области обработки его персональных данных;

уметь

• составлять проекты и анализировать имеющиеся локальные нормативные акты на предмет их соответствия действующему законодательству;

владеть

• навыками определения вида и основания ответственности за нарушения требований законодательства, регулирующего обработку персональных данных работника.

Правовое регулирование вопросов обработки персональных данных работников в трудовых правоотношениях осуществляется нормами гл. 14 ТК РФ «Защита персональных данных работника» (ст. 85−90) и Законом о персональных данных. Рассматривая вопрос о соотношении предметов регулирования указанных Законов, следует понимать, что Закон о персональных данных как регламентирующий отношения, связанные с обработкой персональных данных, осуществляемой органами государственной власти и местного самоуправления, юридическими и физическими лицами с использованием или без использования средств автоматизации, устанавливает общие правила работы с персональными данными. Трудовой кодекс РФ, в свою очередь, определяет случаи и особенности обработки персональных данных работников в трудовых отношениях, т. е. в данном случае не ТК РФ устанавливает общие правовые нормы, а иной закон конкретизирует их, как это обычно бывает, а наоборот, федеральный закон предусматривает наиболее общее регулирование, а ТК РФ — детализирует и вводит особенности, характерные для трудовых отношений их субъектов.

Следует отметить, что Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г.^[1], которая вступила в силу для России с 1 сентября 2013 г. В связи с чем Федеральным законом от 07.05.2013 № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона „О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных“ и Федерального закона „О персональных данных“» были внесены изменения в ряд федеральных законов, в том числе и в ТК РФ. В частности, ст. 85 ТК РФ, содержавшая определения некоторых понятий в сфере персональных данных, была признана утратившей силу.

Весь понятийный аппарат, относящийся к рассматриваемому вопросу, содержится в Законе о персональных данных. Основными понятиями, отражающими суть института, являются:

• — персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• — оператор — государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• — обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• — автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
• — предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• — информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Из приведенных определений можно сделать вывод о том, что персональными данными работника являются любые сведения о нем как о физическом лице и как о работнике, а под обработкой персональных данных понимаются любые действия с этими данными, начиная от их сбора и хранения и заканчивая их предоставлением любым лицам.

Важнейшим условием обработки персональных данных является наличие согласия их субъекта на такую обработку. Следовательно, работодателю необходимо получать указанное согласие от каждого работника при его трудоустройстве, поскольку трудовые отношения без обработки персональных данных работника существовать не могут.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных (его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Поскольку обязанность предоставить доказательство получения согласия субъекта персональных данных — работника на обработку его персональных данных возлагается на оператора — работодателя, то наиболее распространенным вариантом в трудовых отношениях является письменная форма такого согласия.

Согласие на обработку персональных данных может быть отозвано работником, однако в таком случае работодатель будет вправе продолжить обработку персональных данных на основании ч. 2 ст. 9 и п. 5 ч. 1 ст. 6 Закона о персональных данных.

Реализация принципа конкретности, информированности и сознательности согласия на обработку персональных данных реализуется через содержание такого согласия, которое должно включать в себя:

• 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• 2) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
• 3) цель обработки персональных данных;
• 4) перечень персональных данных, на обработку которых дается согласие;
• 5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• 6) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва;
• 7) подпись субъекта персональных данных.

Суть законодательства о персональных данных состоит в конфиденциальности последних, т. е. в том, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Относительно персональных данных работников работодатель обязан выполнить ряд дополнительных действий, которые направлены на соблюдение прав работников, а именно:

• — ознакомить работника под роспись с локальным нормативным актом, устанавливающим порядок обработки персональных данных работников, в том числе их передачу в пределах одной организации, а также о правах и обязанностях работника в сфере обработки персональных данных;
• — получать все персональные данные работника у него самого. В случае если персональные данные работника возможно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие, включающее цели, предполагаемые источники и способы получения персональных данных, а также последствия отказа дать такое согласие;
• — предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
• — разрешать доступ к персональным данным работников только специально уполномоченным лицам, которые имеют право получать только персональные данные, необходимые для выполнения конкретных функций.

Работодателям запрещается:

• — сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами:
• — сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• — запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Работники в области персональных данных имеют право:

• — на полную информацию об их персональных данных и обработке этих данных;
• — на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом. Следует отметить, что при ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных Российская Федерация оставила за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка;
• — доступа к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
• — требовать исключить или исправить неверные или неполные персональные данные;
• — обжаловать в суд любые неправомерные действия (бездействие) работодателя при обработке и защите их персональных данных.

В целях защиты конфиденциальности персональных данных работодатель обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К числу таких мер, в частности, относятся принятие указанных нами выше локальных нормативных актов, устанавливающих порядок обработки персональных данных и их передачи в пределах организации, а также определение сотрудников, специально уполномоченных для работы с персональными данными.

Важным аспектом защиты персональных данных работника является установление законодательством мер ответственности за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Лица, виновные в нарушении законодательства в области персональных данных, могут быть привлечены к дисциплинарной ответственности вплоть до увольнения по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ в случае разглашения персональных данных другого работника, а также к материальной ответственности.

Кроме того, виновные лица могут быть привлечены к административной ответственности по ст. 13.11 КоАП РФ за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) и по ст. 13.14 КоАП РФ за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.

В ряде случаев деяния, связанные с неправомерным доступом к персональным данным или их использованием, могут повлечь за собой даже уголовную ответственность, в частности по ст. 137 «Нарушение неприкосновенности частной жизни», ст. 140 «Отказ в предоставлении гражданину информации» и ст. 272 УК РФ «Неправомерный доступ к компьютерной информации» .

• [1] Конвенция ратифицирована Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» .