Обработка персональных данных. Порядок хранения и передачи персональных данных работника

Статья 9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»[170] относит персональные данные граждан к числу конфиденциальной информации, доступ к которой определяется федеральным законом.

С учетом указанного положения порядок доступа, обработки, хранения, передачи персональных данных работников определяется Федеральным законом «О персональных данных» и положениями главы 14 Трудового кодекса.

Все документы, содержащие персональные данные работника хранится в личном деле работника.

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов.

Это означает, что работодатель обязан издать локальный нормативный правовой акт, регламентирующий порядок хранения и использования персональных данных работников.

Поскольку Трудовой кодекс не определяет форму акта, регулирующего порядок хранения и использования персональных данных работников, то работодатель вправе указанные вопросы определить в правилах внутреннего трудового распорядка, в коллективном договоре, положении о порядке хранения и использования персональных данных работника либо ином локальном акте.

В локальном нормативном акте, устанавливающем порядок хранения и использования персональных данных работников должно быть определено: перечень персональных данных работников, необходимых работодателю в связи с трудовыми отношениями; перечень должностных лиц, имеющих право обработки персональных данных работников; условия хранения персональных данных, обеспечивающие конфиденциальность сведений, содержащихся в персональных данных; порядок обработки и передачи персональных данных работников и другие аспекты, связанные с хранением и использованием персональных данных работника.

Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Для некоторых категорий работник порядок хранения и использования персональных данных определяется на законодательном уровне.

Так порядок хранения и использования персональных данных государственных гражданских служащих определен Федеральным законом «О государственной гражданской службе РФ»[171] и Указом Президента РФ от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»[172].

Согласно статье 85 Трудового кодекса обработка персональных данных работника представляет собой получение, хранение, комбинирование, передачу или любое другое использование персональных данных работника.

Следует учитывать, что обработка персональных данных работника осуществляется на основании общих принципов, закрепленных в статье 5 Федерального закона «О персональных данных». К числу таких принципов относятся: осуществление обработки персональных данных на законной и справедливой основе; обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей; не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; обработке подлежат только персональные данные, которые отвечают целям их обработки; содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки; при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

Следует отметить, что Трудовым кодексом установлены определенные требования к обработке персональных данных работников.

Так, обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Из этого следует, что объем обработки персональных данных работников обусловлен требованиями законодательства (например, Налоговым кодексом, Федеральным законом «Об индивидуальном персонифицированном учете» и др.) или интересами самого работника (предоставление работнику, соответствующих условий труда, гарантий и компенсаций, продвижения по службе и т.д.).

При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами.

Это означает, что работодатель не вправе получать и обрабатывать персональные данные работника, которые не имеют отношения к его трудовой деятельности у данного работодателя.

Перечень информации, которую работодатель вправе требовать при заключении трудового определен в статье 65 Трудового кодекса. Получение иной информации от работника иной информации, содержащей персональные данные возможно лишь при условии согласия работника.

Все персональные данные работника работодатель должен получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

По общему правилу работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами.

При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом и иными федеральными законами.

Важным является и вопрос об обеспечении защиты персональных данных при передаче этих данных третьим лицам.

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами;

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом и иными федеральными законами;

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Статья 86 Трудового кодекса устанавливает, что работники не должны отказываться от своих прав на сохранение и защиту тайны. Это означает, что если работодатель получит от работника отказ от своих прав на сохранение и защиту конфиденциальности персональных данных, то такой отказ не может считаться действительным.

Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Реализация совместной работы по выработке мер защиты персональных данных работников может быть обеспечена посредством системы социального партнерства и реализована при заключении коллективного договора. При этом участие работников и их представителей в выработке мер защиты персональных данных работников является дополнительной гарантией охраны частной жизни работников.

Наши рекомендации