Деятельность работодателя по обработке персональных данных работников
Взаимоотношения работодателей и работников всегда связаны с накоплением, обработкой, хранением и использованием значительных объемов персональной информации. При выполнении данной деятельности работодатель и его представители в целях обеспечения прав и свобод человека обязаны соблюдать общие требования, установленные статьей 86 ТК РФ. Данная статья устанавливает общие принципы, соблюдение которых работодателем обязательны.
Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (пункт 3 статьи 3 Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).
Получение персональных данных должно производиться непосредственно у работника. В некоторых случаях персональные данные, возможно, получить только у третьей стороны. Например, сведения о профессиональном обучении и если работник не может предоставить дополнительные данные, ссылаясь на утерю диплома и пр., когда работодатель сомневается в достоверности записей в трудовой книжке, подлинности получения документа об образовании или достоверности медицинского документа.
Любые действия по сбору дополнительной информации и проверке предоставленных сведений требуют особой правовой осторожности, определенной законом.
Во-первых, любую новую информацию можно получать только в связи с подтверждением документов и информации, перечисленной в ст. 65 ТК РФ.
Во-вторых, требование работодателя о предоставлении дополнительных данных и подтверждении информации во всех случаях должно быть мотивировано (например, в целях перевода работника на другую, более высоко оплачиваемую должность).
В-третьих, если информация собирается не от самого работника – он должен быть уведомлен работодателем о намерении получить персональные данные у третьей стороны, а также о цели, предполагаемых источниках и способах получения персональных данных, их характере, последствиях отказа работника дать письменное согласие на их получение (пункт 3 статьи 86 ТК РФ) и, в-четвертых, всегда, когда информация получается от третьих лиц, работодатель должен получить письменное согласие работника.
Требование дачи письменного согласия на проведение проверки любой предоставленной информации, как и сама такая проверка, при которой перечисленные условия не соблюдены, незаконна и может быть обжалована в суд. Одним из распространенных нарушений кадровых служб при приеме на работу является предложение заполнить в анкетах следующие пункты: «Не возражаю против получения данных обо мне». Включение в анкеты пункта такого содержания противоречит как Конституции РФ, так и трудовому законодательству. Работодатель не вправе требовать согласия работника на проверку предоставленной работником личной информации, даже такое согласие получено, он не имеет права проводить проверку (ст. 22 ТК РФ). Согласно пункту 9 статьи 86 ТК РФ работники не должны отказываться от своих прав на сохранение и защиту своей личной, семейной тайны. Поэтому все расписки работника, акты, содержащие подобный отказ являются незаконными.
Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств, в порядке, установленном ТК РФ (пункт 7 ст. 86 ТК РФ) и иными федеральными законами.
Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним. Для обеспечения конфиденциальности персональных данных необходимо решение следующих задач:
- четкая регламентация должностных обязанностей лиц, которые связаны с обработкой персональных данных;
- наличие четкой разрешительной системы доступа к документам, содержащим персональные данные;
- регулярного контроля за наличием и сохранностью документов, содержащих персональные данные, как в отделе кадров, так и в других структурных подразделениях организации.
Работодателю необходимо также определить порядок передачи персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя, а именно установить:
- куда может быть передана информация, содержащая персональные данные работника (например, в подразделения организации: бухгалтерию, в службу безопасности);
- основание для передачи персональных данных работника (например, письменное разрешение руководителя организации, работодателя – индивидуального предпринимателя или начальника отдела кадров);
- перечень лиц, имеющих право передачи персональных данных работника.
Согласно статье 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников в организации устанавливается работодателем с соблюдением требований Кодекса. Он может быть изложен в инструкции, регламенте или ином документе по работе с кадровой информацией. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Документы, содержащие персональные данные работников (личные дела, картотеки, учетные журналы) необходимо в рабочее и нерабочее время хранить в специально оборудованных шкафах или сейфах. Трудовые книжки работников необходимо хранить в сейфе отдельно от личных дел. По правилам в конце рабочего дня все личные дела должны сдаваться в отдел кадров. Доступ к персональным данным работников, которые хранятся в электронном виде, должен быть технически возможен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций. Все документы по личному составу должны обязательно сдаваться в архив.
При передаче персональной информации относительно работника работодатель должен руководствоваться ст. 88 ТК РФ. В частности, работодатель обязан соблюдать требования, предусмотренные данной статьей.
Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам (полиции и другим контролирующим органам) в порядке, установленном федеральным законом. Запрещено передавать подобную информацию по телефону.
Основанием для передачи персональных данных работника является письменный запрос от должностного лица соответствующего государственного органа, а если представители контролирующих органов пришли к вам лично - служебное удостоверение и приказ, где указаны цели сбора подобной информации.
Работодатель должен обеспечить ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.
Бывший работник вправе обращаться к работодателю за информацией относительно своей прошлой работы и информации, которая осталась храниться у бывшего работодателя, поскольку она затрагивает права и свободы работника и может быть необходима для их реализации. Работнику могут понадобиться данные, например, о зарплате, которую он получал, состоял в трудовых отношениях с прежним работодателем, о выполняемых им трудовых функциях и другие сведения. Работодатель обязан не позднее трех дней со дня письменного обращения к нему бывшего работника предоставить надлежащим образом заверенные документы, связанные с работой у него этого работника.
Работодателю целесообразно включить в состав кадровой документации Положение о защите персональных данных работников. Данное положение является локальным нормативным актом, в котором регламентируются требования по обработке персональных данных работника, хранению и использованию персональных данных и гарантии их защиты. Положение о персональных данных работников относится к разновидности обязательных кадровых документов, прямо предусмотренных ТК РФ.
В соответствии с требованиями Трудового кодекса РФ, в Положение целесообразно включить следующие разделы:
- цели и задачи обработки персональных данных, основные понятия;
- перечень обрабатываемых персональных данных;
- перечень структурных подразделений и носителей информации, в которых накапливаются и хранятся персональные данные работников;
- способ сбора персональных данных и источник их получения (на основании пункта 3 статьи 86 ТК РФ);
- перечень лиц (по должностям), которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- сроки обработки персональных данных, в том числе сроки их хранения;
- ответственность за разглашение конфиденциальной информации, связанной с персональными данными работника.
Положение принимается работодателем единолично, оно вступает в силу после процедуры утверждения. Утверждает Положение о персональных данных работника руководитель организации или уполномоченное им лицо – для юридических лиц, или работодатель - индивидуальный предприниматель.
Работник должен быть ознакомлен с Положением о персональных данных под роспись. Роспись об ознакомлении с положением содержит следующие данные: ФИО работника, структурное подразделение, должность, дата, подпись.
К особенности персональных данных следует отнести то, что данный вид информации охватывает многие виды тайн, представленных в различных федеральных законах, при этом осуществить адекватную оценку ущерба от неправомерного доступа к персональным данным представляется достаточно сложным.
Так для операторов нарушение конфиденциальности обрабатываемых персональных данных не только негативно сказывается на репутации, но и способно привести к гражданской, административной, и уголовной ответственностям, кроме того, потенциально возможно приостановление действия или аннулирование лицензии на право заниматься основным видом деятельности.
Первоочередная задача, стоящая перед операторами в части защиты персональных данных, заключается в рациональном и эффективном выполнении комплексных требований по защите персональных данных.
Согласно Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзора), операторы ПД должны выполнить ряд действий:
- направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных (п.3 ст. 22);
- получить письменное согласие субъекта персональных данных на обработку своих данных (п.4 ст. 9);
- уведомить субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (п.4 ст. 21);
- уведомление об обработке персональных данных не требуется, если оператор персональных данных и субъект персональных данных находятся в трудовых отношениях или иных договорных отношениях (п.2 ст. 22).