В казну.ру Бухгалтерский учет в бюджетных учреждениях

Персональные данные работника и их защита

“Кадровик. Трудовое право для кадровика“, 2008, N 10


ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКА И ИХ ЗАЩИТА


К вопросу об использовании персональных данными работодателям следует отнестись очень серьезно. Многие отрасли права обращают внимание на защиту личной информации гражданина, и мера ответственности за нарушение установленных правил и норм велика. В статье раскрыто понятие персональных данных в соответствии с российским законодательством и нормами международного права, ответственность работодателя и должностных лиц за нарушение сохранности персональных данных согласно нормам трудового, административного, гражданского и уголовного права.

Понятие персональных данных в международном и российском
законодательстве

Сегодня практически во всех организациях вне зависимости от формы собственности широко используются автоматизированные информационные системы и технологии. Содержащаяся
в них информация (или сведения) о любом работнике, состоящем в трудовых отношениях с работодателем, становится объектом интересов не только самого работодателя, но и других граждан (организаций). Порой такая информация в силу ряда причин становится открытой и вполне может привести к ущемлению (нарушению) прав и законных интересов работников, причинить им не только моральный вред, но и материальный ущерб. Случается, что такая информация поступает на какой-либо сайт в Интернете, откуда ее можно просто скачать за определенную плату или бесплатно.

Но ведь эта информация относится к категории информации о персональных данных и поэтому требует особого режима защиты, особой регламентации доступа к ней и ее использования.

Эти обстоятельства (а возможно, и другие) предопределили необходимость правового закрепления не только принципов, касающихся целей и способов сбора, хранения, использования и обработки персональных данных, прав и обязанностей работников и работодателей, но и их защиты, ответственности лиц за невыполнение законных требований о защите персональных данных.

Законодательство Российской Федерации в области персональных данных основывается на международных актах и договорах, Конституции РФ, федеральных законах и иных нормативных правовых актах по вопросам, касающимся обработки персональных данных.

В соответствии со ст. 12 Всеобщей декларации прав человека от 10.12.1948 никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств.

Принцип невмешательства в частную жизнь человека, уважения частной жизни закреплен также Конвенцией о защите прав человека и основных свобод от 04.11.1950, где говорится, что каждый имеет право на уважение его
личной и семейной жизни, жилища, корреспонденции (п. 1 ст. 8). Аналогичное правило содержится в Международном пакте о гражданских и политических правах от 16.12.1966, в Конвенции Содружества Независимых Государств о правах и основных свободах человека от 26.05.1995. А в Декларации прав и свобод человека и гражданина, принятой Верховным Советом РСФСР 22.11.1991, закреплено право каждого на неприкосновенность его частной жизни, тайну переписки, телефонных переговоров, телефонных и иных сообщений (п. 1 ст. 9). К числу международных правовых актов, куда вошли положения, ставшие основанием для создания национальных информационных систем, следует отнести Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981.

Согласно ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных понятие “данные личного характера“ означает любую информацию, относящуюся к физическому лицу, идентифицированному или которое может быть идентифицировано. Кроме того, в ст. 5 Конвенции предусмотрено, что:

- персональные данные, проходящие автоматизированную обработку, должны быть получены и обработаны добросовестным и законным образом;

- накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;

- храниться в такой форме, которая позволяет идентифицировать субъектов данных, не дольше, чем это требует цель, для которой эти данные накапливаются.

Кроме того, Конвенция непосредственно касается особых категорий данных, например персональных данных о национальной принадлежности, политических взглядах, религиозных убеждениях, здоровье, судимости и проч., которые могут подвергаться автоматизированной обработке только в тех случаях, когда национальное право предусматривает надлежащие гарантии.

В Конституции РФ, в частности в ст. ст. 23 и 24, воспроизведены основные положения указанных международных актов: в соответствии с ч. 1 ст. 23 каждый имеет право на
неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а в ст. 24 закреплено, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается, а органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Эти конституционные положения получили свое развитие и конкретизацию в ряде законов Российской Федерации и указах Президента РФ. К их числу относится Закон РФ от 21.07.1993 N 5485-1 “О государственной тайне“ (ред. 01.12.2007), в котором рассмотрена проблема доступа к сведениям персонального характера; Федеральный закон от 27.07.2006 N 149-ФЗ “Об информации, информационных технологиях и о защите информации“, где затрагиваются общие проблемы в сфере информации; Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных“, которым установлен режим персональных данных, определено их понятие и к какой категории сведений они относятся; Перечень сведений конфиденциального характера, утв. Указом Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005), а также иные нормативные правовые акты, касающиеся отдельных категорий работников, например Федеральный закон от 27.07.2004 N 79-ФЗ (ред. от 29.03.2008) “О государственной гражданской службе Российской Федерации“.

Таким образом, в указанных нормативных правовых положениях определены общие подходы к сведениям о гражданах. В гл. 14 ТК РФ впервые закреплены правовые нормы, регулирующие вопросы по сбору, хранению, обработке, передаче и использованию персональных данных работника, которые необходимы для осуществления отношений между работником и работодателем. Главной юридической гарантией, содержащейся в гл. 14 ТК РФ, является установление правил защиты прав работника и
его персональной информации от неправомерного использования.

В Федеральном законе от 27.07.2006 N 152-ФЗ “О персональных данных“ дано общее понятие персональных данных: персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество; месяц, год, дата и место рождения; адрес регистрации по месту жительства или места пребывания; социальное и имущественное положение; образование, профессия, доходы и другая информация (ст. 3). Персональные данные относятся к категории конфиденциальной информации, за исключением случаев, предусмотренных законом (ст. 8).

Конфиденциальность персональных данных предполагает обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Понятие персональных данных работника (как одного из субъектов персональных данных) в ст. 85 ТК РФ трактуется предельно конкретно: это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Однако трудовым законодательством не предусматривается конкретный перечень такой информации.

К числу таких сведений, содержащих информацию, необходимую как работнику, так и работодателю, следует отнести:

- сведения (документы) предъявляемые при заключении трудового договора, предусмотренные ст. 65 ТК РФ;

- документы о состоянии здоровья работника, если в соответствии с требованиями законодательства он должен пройти предварительный периодический или внеочередной медицинские осмотры (ст. ст. 69, 213 ТК РФ);

- документы, подтверждающие право работника на получение предусмотренных трудовым законодательством дополнительных гарантий и компенсаций, например об инвалидности, о донорстве, об ученой степени и ученом звании и др.;

- в ряде случаев - документы о беременности женщин (или усыновлении ребенка), о возрасте ребенка и т.п. для предоставления дополнительных гарантий и
улучшении условий труда;

- документы (сведения) о составе семьи в целях предоставления работнику гарантий с учетом его семейного положения;

- сведения о членстве работника в профессиональном союзе, его профессиональной деятельности (ст. ст. 374 и 376 ТК РФ).

Исходя из смысла ст. 86 ТК РФ, работодатель должен разработать локальный нормативный акт, который регулировал бы отношения, связанные с получением, обработкой, хранением и использованием персональных данных работника.

Содержание положения о персональных данных

По общему правилу работодатель не вправе получать данные от работника о его политических, религиозных и иных убеждениях и частной жизни, однако в случаях, непосредственно связанных с трудовыми отношениями, работодатель может получать данные о частной жизни работника, но только с его письменного согласия.

Обработка персональных данных включает: получение (сбор) информации, ее хранение, комбинирование, систематизацию, накопление, уточнение (обновление, изменение), использование, распространение (в том числе передачу), уничтожение персональных данных. Все эти действия в конечном счете формируют информационную систему (базу) персональных данных работника.

Действия работодателя, связанные с обработкой персональных данных, ограничены целями такой обработки.

Целями обработки персональных данных являются: обеспечение соблюдения законов и иных нормативных актов; содействие работникам в трудоустройстве, обучении, продвижении по службе; обеспечение личной безопасности; контроль количества и качества выполняемой работы; обеспечение сохранности имущества.

Обработка персональных данных должна осуществляться на основе принципов законности целей и способов обработки персональных данных; добросовестности; достоверности персональных данных, их достаточности для целей обработки; недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; добровольности и обеспечения равенства возможностей работника без какой-либо дискриминации в сфере труда.

Общие требования, предъявляемые к обработке персональных данных, и гарантии защиты персональных данных сформулированы в ст. 86 ТК РФ в
исчерпывающем виде и расширительному толкованию не подлежат.

Все персональные данные работника должны быть получены у самого работника.

Кодексом допускается получение персональных данных работника, которые он сам представить не может, у третьей стороны, обладающей необходимой информацией. В таких случаях работодатель обязан уведомить работника заблаговременно о намерении получить требуемую информацию у третьего лица и получить от работника письменное согласие на такое получение информации. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения необходимых ему персональных данных работника и их характере, а также о возможных последствиях отказа работника дать письменное согласие на получение информации у третьей стороны.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и о частной жизни. Однако в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника. При этом работодатель может так поступать только с письменного согласия работника в соответствии со ст. 24 Конституции РФ.

Работодатель также не вправе получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ и иными федеральными законами.

Работодатель не вправе основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или из электронного информационного ресурса, при принятии решений, затрагивающих интересы работника.

Работодатель обязан обеспечить за счет своих средств и в порядке, установленном ТК РФ и иными федеральными законами, защиту персональных данных работника от неправомерного их использования или утраты.

Работодатель обязан ознакомить работников и их представителей под роспись с документами, устанавливающими порядок обработки персональных данных работников, а
также об их правах и обязанностях в этой области.

Работники не должны отказываться от своих прав на сохранение и защиту тайны.

Порядок обработки персональных данных, как уже отмечалось, определен в локальном нормативном акте, нормы которого не должны ухудшать положения работников по сравнению с установленным трудовым законодательством и иными федеральными законами. С содержанием соответствующего локального нормативного акта работник должен быть ознакомлен под роспись (п. 8 ст. 86 ТК РФ и ч. 3 ст. 68 ТК РФ).

Содержанием такого документа должны стать:

- сведения (данные), относящиеся к персональным данным работника, перечень сведений, носящих конфиденциальный характер;

- режим доступа к персональным данным и перечень лиц, наделенных правом доступа к такой информации, а также их права и обязанности;

- права работников на ознакомление со своими персональными данными, в том числе с участием представителя работника, на получение ими копий материалов, содержащих персональные данные (ст. 62 ТК РФ), а также получение полной информации о своих персональных данных и их обработке.

Кроме того, в данном локальном нормативном акте должна быть определена процедура (или порядок) сбора информации, ее систематизации, накопления, хранения, уточнения (обновления, изменения), использования, распространения (в том числе передачу третьим лицам), блокирование, уничтожение данных, а также прописан порядок ознакомления работника (его представителя) со своими персональными данными, получения копий с материалов, содержащих его персональные данные, и содержаться информация об ответственности за нарушение норм, регулирующих обработку и защиту персональных данных (ст. 90 ТК РФ).

Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников, из чего следует, что данный локальный акт должен быть принят работодателем совместно с представителями выборного органа работников, либо с учетом
его мнения, либо по согласованию с ним (ст. 86 ТК РФ).

Как уже отмечалось, на работодателя возлагается обязанность сообщать работнику о целях, предполагаемых источниках и способах получения персональных данных и последствиях отказа работника дать письменное согласие на их получение. Работодатель обязан вести документацию по личному составу (документирование информации). Порядок документирования информации устанавливается органами государственной власти, ответственными за организацию делопроизводства, стандартизацию документов и их массивов, безопасность Российской Федерации.

Например, стандартизированный перечень документации по учету труда и его оплаты установлен Постановлением Госкомстата России от 06.04.2001 N 26 “Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты“. Унифицированные формы по учету кадров обязательны для применения во всех организациях независимо от форм собственности.

Работодатель обязан обеспечить надлежащее хранение информации, содержащей персональные данные работника, и защиту от неправомерного использования или утраты своими силами и за счет своих собственных средств. Для этого он (или его представитель) обязан создать необходимые условия, то есть специальное оборудование мест хранения документации, предоставление необходимого помещения, технических средств; особый режим доступа в соответствующее помещение, ограничение доступа лиц к персональным данным работника и др. Что касается сроков хранения персональных данных работников, то они определены перечнем типовых управленческих документов, образующихся в процессе деятельности организации.

Трудовое законодательство четко определяет обязанности работодателя при передаче персональных данных работника, в частности:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ и иными федеральными законами;

- не сообщать персональные данные работника в коммерческих целях без его
письменного согласия;

- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК и иными федеральными законами;

- разрешать доступ к персональным данным работников только специально уполномоченным лицам, имеющим при этом право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состояния здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Следует отметить, что правом на получение информации о персональных данных работника в соответствии с федеральными законами и в пределах, необходимых для выполнения своих функций, обладают: Пенсионный фонд; налоговые органы; Фонд социального страхования; Федеральная инспекция труда; органы государственного надзора и контроля за соблюдением законодательства о труде; органы исполнительной власти; профессиональные союзы, участвующие в расследовании несчастных случаев на производстве.

Обеспечение защиты персональных данных

В целях обеспечения защиты персональных данных, находящихся у работодателя, работники имеют регламентированные ст. 89 ТК РФ конкретные права, связанные с:

1) получением информации об их персональных данных и их обработке; свободным бесплатным доступом к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законом; приглашением медицинского специалиста при получении информации о своих персональных данных медицинского характера;

2) требованием об исключении или исправлении неверных или неполных персональных данных. Помимо этого работник вправе потребовать от работодателя известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные. При наличии оснований работодатель должен устранить выявленные в персональных данных работника недостатки и сообщить обо всех произведенных в них исключениях, исправлениях или дополнениях. В случае отказа работодателя исключить или исправить персональные данные работника работник вправе заявить работодателю в письменной форме о своем несогласии. Такое заявление о несогласии работник должен обосновать, аргументировать или подтвердить соответствующими фактами; что касается персональных данных оценочного характера (например, результат аттестационной комиссии, сведения, содержащиеся в характеристике работника, и др.), работник имеет право изложить в соответствующем заявлении свою собственную точку зрения относительно сведений, содержащихся в персональных данных оценочного характера; защитой от любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника путем обращения в суд с соответствующей жалобой. При этом работник может не только сам лично обратиться в судебные инстанции, но и определить своих представителей для защиты своих персональных данных как судебным, так и любым другим способом.

Указом Президента РФ от 21.04.2008 N 539 “О внесении изменений в Положение о Федеральной службе судебных приставов, утвержденное Указом Президента РФ от 13.10.2004 N 1316“ данное Положение в пп. 14 п. 6 дополнено указанием на то, что судебные приставы обеспечивают в пределах своей компетенции защиту персональных данных (очевидно, в том числе и персональных данных работников), а также сведений, составляющих государственную и иную охраняемую законом тайну. Гарантированное государством право на защиту персональных данных работника обеспечивается установлением юридической ответственности.

Статья 90 ТК РФ предусматривает юридическую ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника:

- дисциплинарную и материальную в порядке, установленном трудовым законодательством;

- гражданско-правовую по нормам ГК РФ, если работнику причинен имущественный ущерб и (или) моральный вред;

- административную и уголовную соответственно КоАП РФ и УК РФ.

К дисциплинарной ответственности могут быть привлечены лишь те работники, которые приняли на себя обязательство соблюдать правила работы с персональными данными, то есть это условие должно быть включено в содержание их трудового договора. Работники должны быть ознакомлены под роспись с локальным нормативным актом, регулирующим порядок сбора, хранения и передачи персональных данных (защиту персональных данных работника).

Работодатель должен создать для работы с персональными данными все необходимые условия.

Одной из мер дисциплинарного воздействия ТК РФ предусматривает увольнение работника за разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе за разглашение персональных данных другого работника (пп. “в“ п. 6 ст. 81 ТК РФ).

Наряду с дисциплинарной ответственностью работники, виновные в разглашении сведений, составляющих охраняемую законом тайну (государственную, коммерческую или иную), могут быть привлечены к полной материальной ответственности (ст. 242, п. 7 ст. 243 ТК РФ).

Гражданский кодекс РФ предусматривает защиту нематериальных благ граждан, включая неприкосновенность частной жизни, личную и семейную тайну, деловую репутацию и др. Соответственно, устанавливается гражданско-правовая ответственность в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию работника (ст. ст. 150, 151, 152 ГК РФ).

Административная ответственность за нарушение норм, регулирующих порядок получения, обработки и защиты персональных данных, установлена КоАП РФ.

Так, ст. 13.11 КоАП РФ определяет ответственность граждан, должностных и юридических лиц за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в форме предупреждения или наложения административного штрафа на виновных.

Статья 13.12 КоАП РФ определяет ответственность за целый ряд правонарушений в сфере защиты персональных данных работников:

- нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну);

- использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну);

- нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну;

- использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну.

В соответствии со ст. 13.14 КоАП РФ разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа.

Уголовная ответственность предусмотрена ст. 137 УК РФ, в соответствии с которой преступлением признается незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации как преступление в сфере конституционных прав и свобод человека и гражданина, которое наказывается:

- штрафом до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 мес.;

- либо обязательными работами на срок от 120 до 180 ч;

- либо исправительными работами на срок до 1 года;

- либо арестом на срок до 4 мес.

Статьей 272 УК РФ признается преступлением неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Наказание за такое преступление может быть:

- штраф до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;

- либо исправительные работы на срок от 6 мес. до 1 года;

- либо лишение свободы на срок до 2 лет.

О.Волкова
Заместитель заведующего
кафедрой трудового права
и права социального обеспечения
АТиСО

Подписано в печать
12.09.2008