Защита персональных данных работника

Персональные данные работника — это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Персональные данные работника относятся к охраняемым и защищаемым сведениям (гл. 14 ТК РФ, Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).

Общие требования при обработке персональных данных работника^[1] и гарантии их защиты, предусмотренные в ст. 86 ТК РФ, следующие:

• 1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законодательства, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• 2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, трудовым законодательством и иными федеральными законами;
• 3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
• 4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
• 5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами;
• 6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться па персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
• 7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
• 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
• 9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
• 10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

В том случае, когда возникает необходимость передачи персональных данных работника, работодатель обязан соблюдать следующие требования:

• — не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством;
• — не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• — предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
• — осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
• — разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только тс персональные данные работника, которые необходимы для выполнения конкретных функций;
• — не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
• — передавать персональные данные работника представителям работников и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

• — полную информацию об их персональных данных и обработке этих данных;
• — свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
• — определение своих представителей для защиты своих персональных данных;
• — доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
• — требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия;
• — требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• — обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Порядок хранения и использования персональных данных работников определяется работодателем с соблюдением законодательства. К примеру, правила ведения личного дела гражданского служащего устанавливаются с учетом требований Закона о государственной гражданской службе (ст. 42). Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела утверждено Указом Президента РФ от 30 мая 2005 г. № 609. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных (п. 4 ст. 5 Закона о персональных данных). Обрабатываемые персональные данные, по общему правилу, подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

Условия обработки персональных данных также установлены Законом о персональных актах (ст. 6). Обработка персональных данных допускается:

• — с согласия субъекта персональных данных на обработку его персональных данных;
• — для достижения целей, предусмотренных международным договором Российской Федерации или законом, осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• — в целях отправления правосудия, исполнения судебного акта, акта другого органа или должностного лица;
• — для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» и регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
• — в целях исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• — если это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• — для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• — в целях осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
• — в статистических или иных исследовательских целях;
• — если предоставлен субъектом персональных данных либо по его просьбе. Речь идет о персональных данных, сделанных общедоступными субъектом персональных данных;
• — в целях опубликования или обязательного раскрытия в соответствии с федеральным законом.

• [1] Обработка персональных данных работника — это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.