Правила и гарантии защиты персональных данных работников при их обработке и хранении
Проблемы защиты прав личности при работе с информацией о гражданах стали особо актуальными в последнее время в связи с расширением возможностей несанкционированного доступа к такой информации. В соответствии со ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Очередным шагом на пути усиления правовой защиты граждан от злоупотреблений такого рода стало принятие нового Трудового кодекса РФ. В отличие от ранее действовавшего КЗоТа, он содержит специальную главу 14 "Защита персональных данных работника", посвященную именно этой проблеме.1 Персональные данные представляют собой конфиденциальную информацию о событиях и обстоятельствах жизни конкретного гражданина. Однако очевидно, что такие сведения не могут быть абсолютной тайной - любому работодателю необходимо в связи с трудовыми отношениями иметь информацию о людях, которые у него работают. Конфиденциальный характер сведений о работнике состоит в том, что работодатель не может получить их из любых мест, которые считает нужными, в любом объеме и распространять любым способом. Все персональные данные о работнике следует получать у него самого. Если их возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и дать письменное согласие. Работодатель должен сообщить ему о целях, предполагаемых источниках и способах получения персональных данных, а также об их характере и последствиях отказа работника дать письменное согласие на их получение. (п. 3 ст. 86 ТК)Работодатель может собирать и обрабатывать не любую информацию о своих работниках, а только ту, которая необходима ему для обеспечения соблюдения законов и иных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, для обеспечения их личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК). В Трудовом кодексе (п. 4, 5 ст. 86; абз. 7 ст. 88) прямо оговорен ряд данных, которые работодатель получать не имеет права. А именно: данные работника, касающиеся его политических, религиозных и иных убеждений, и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений (в соответствии со статьей 24 Конституции РФ), работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Информация о его членстве в общественных организациях и его профсоюзной деятельности может быть получена работодателем только в случае, если это прямо предусмотрено законом. Работодатель не имеет права запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции. Трудовой кодекс в ст. 88 разрешает использовать персональные данные работника исключительно при соблюдении определенных кодексом ограничений. Работодателю нельзя сообщать эти данные третьей стороне без письменного согласия работника, кроме случаев, когда это необходимо для предупреждения угрозы жизни и здоровью, а также в случаях, установленных законом. При передаче персональных данных работника работодатель не должен без его письменного согласия сообщать эти данные в коммерческих целях (для получения прибыли).
Порядок хранения и использования персональных данных работников в организации устанавливается работодателем с соблюдением требований Трудового кодекса. В организации должен быть принят документ (приказ, указание), в котором устанавливается порядок работы с персональными данными работника. Лица, имеющие доступ к персональным данным работника (например, работники отдела кадров), обязаны соблюдать режим секретности (конфиденциальности), причем они должны быть предупреждены (в том числе путем записи в должностной инструкции) о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.
Имеющаяся персональная информация о работнике может быть предоставлена руководителям служб или подразделений организации только в пределах компетенции этих лиц, для чего необходимо принятие локального нормативного акта, например, Положения. Основные права работника в области защиты персональных данных определены ст. 89 ТК. Работник имеет право на:
· полную информацию о своих персональных данных и их обработке; · свободный и бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей эти данные, за исключением случаев, предусмотренных законом; · определение своих представителей для защиты своих персональных данных; · доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по его выбору; · требование об исключении или исправлении неверных или неполных персональных данных, а также обработанных с нарушением требований настоящего кодекса. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме о своем несогласии, обосновав его.
Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения; - требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; - обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
В целях защиты частной жизни личности в связи со сбором персональных данных важное значение имеет контроль за правомерностью действий владельцев информации и юридическая ответственность за нарушение установленных законодательством правил работы с персональными данными.
В случаях нарушения норм, регулирующих получение, обработку и защиту персональных данных работника, виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность.