Юридические аспекты защиты персональных данных

Персональные данные собираются практически в любой организации и каждого, кто так или иначе попадает в поле зрение компании. Будь то заключение договора, требующего паспортных данных, заявка на доставку товара с указанием адреса и телефона, и даже простое посещение офиса, когда охрана записывает ФИО посетителя и время посещения. До недавних пор сбор и обработка персональной информации практически никак не регулировались правом, и каждая компания старалась привнести что-то свое. Но с недавнего времени сохранности личных данных законодатели стали уделять должное внимание. Впервые положения о защите персональных данных были упомянуты в Трудовом Кодексе, причем им посвящена оказалась целая глава №14, которая включает понятие персональных данных, порядок их обработки, гарантии их защиты, порядок хранения и использования, а также их передачу. Данная глава также предусматривает права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя, и ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Помимо трудового законодательства понятие персональных данных прослеживается в ст. 24 Конституции Российской Федерации, ст. 85.1 Воздушного кодекса Российской Федерации, п. 3 ст. 25 Федерального закона от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации" (с изм. и доп. от 13.05.2008), гл. 7 Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" (с изм. и доп. от 25.12.2008), ст. 15 Федерального закона от 07.05.1998 N 75-ФЗ "О негосударственных пенсионных фондах" (с изм. и доп. от 23.07.2008), п. 8 ст. 6 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" (с изм. и доп. от 23.07.2008), п. 6 ст. 19 Федерального закона от 11.07.2001 N 95-ФЗ "О политических партиях" (с изм. и доп. от 05.04.2009), ст. 29 Федерального закона от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации" (с изм. и доп. от 25.12.2008), п. 4 ст. 20 Федерального закона от 11.11.2003 N 138-ФЗ "О лотереях" (с изм. и доп. от 23.07.2008) и, конечно, в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных".

Таким образом, персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Недостаток такой формулировки правовой нормы заключается в том, что она позволяет относить практически любую запрашиваемую работодателем информацию о работнике или даже о кандидате на вакантное место к персональным данным.
Персональные данные о работнике по своей сути отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа.

Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование персональных данных.

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования (ст. 86 ТК РФ):
обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, ТК РФ и иными федеральными законами;
все персональные данные работника следует получать у него самого или у третьих лиц, но только с согласия работника;
работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;
при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
работники не должны отказываться от своих прав на сохранение и защиту тайны;
работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Законодатель обязывает работодателя соблюдать все перечисленные положения, однако механизма, который определял бы стандартный пакет документов и процедурные вопросы, позволяющего безболезненно работать с персональными данными работника, не предусмотрел. Как правило, работодатели определяют порядок хранения и использования персональных данных положением об их защите. По сложившейся практике порядок хранения и использования персональных данных работников предприятия определяет положение о защите персональных данных, введенное в действие приказом руководителя. Форма данного локального акта законодательно не установлена.
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.

Персональные данные о работнике работодателю следует получать у самого гражданина. В условиях приема на работу некоторые сведения работодатель может получить не только непосредственно у самого работника, но и от третьих лиц, например бывших работодателей.

Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;
не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Законодателем предусмотрены права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя.

Так, в соответствии со ст. 89 ТК РФ в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
полную информацию об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, о всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

В связи с тем что законодатель обязывает работодателя соблюдать все перечисленные положения, рекомендуем отразить во внутреннем локальном акте следующее:
понятие и состав персональных данных;
порядок хранения данных в структурных подразделениях предприятия (при их наличии);
организацию учета данных: в бумажном виде или на электронных носителях, порядок архивирования;
процедуру сбора персональных данных;
порядок обработки и использования данных;
перечень должностных лиц, имеющих право доступа к персональным данным работников;
способы защиты бумажных носителей (отдельные кабинеты для работников, непосредственно работающих с персональными данными, закрывающиеся шкафы, сейфы и т.д.), способы защиты электронных носителей (персональные компьютеры с паролями);
право работника на защиту своих персональных данных;
ответственность должностных лиц за разглашение конфиденциальной информации, связанной с персональными данными работников.

Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к положению (как правило, это руководитель предприятия, работники кадровой и бухгалтерской службы, службы подбора персонала, руководители структурных подразделений).

Статьей 90 ТК РФ предусмотрена ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника. Согласно данной статье лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Что касается административной ответственности, ст. 13.11 КоАП РФ предусмотрена ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб., на должностных лиц - от 500 до 1000 руб., на юридических лиц - от 5000 до 10 000 руб.

Уголовное законодательство трактует данные нарушения как нарушение неприкосновенности частной жизни (ст. 137 УК РФ). Согласно указанной статье незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

Если эти деяния совершены лицом с использованием своего служебного положения, то ответственность гораздо серьезнее - данные деяния наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Кто же на предприятии будет нести ответственность за нарушение конституционного права работника в отношении его персональных данных - только руководитель или любое должностное лицо предприятия, допущенное к такой информации?

Ответ на данный вопрос представлен в ст. 2.4 КоАП РФ, в соответствии с которой административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей.

Под должностным лицом следует понимать лицо, постоянно, временно или в соответствии со специальными полномочиями осуществляющее функции представителя власти, т.е. наделенное в установленном законом порядке распорядительными полномочиями в отношении лиц, не находящихся в служебной зависимости от него, а равно лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных организациях, а также в Вооруженных Силах Российской Федерации, других войсках и воинских формированиях Российской Федерации. Совершившие административные правонарушения в связи с выполнением организационно-распорядительных или административно-хозяйственных функций руководители и другие работники иных организаций, а также лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как должностные лица, если законом не установлено иное.

Таким образом, ответственностью наделены все должностные лица предприятий, которые непосредственно допущены к информации, являющейся персональными данными конкретного работника.

А.Цыганов
Генеральный директор аудиторской фирмы "Ларика"

    
Другие новости по теме:
  • Какие персональные данные работодатель имеет право запросить у работника
  • Договор на обработку персональных данных (Образец)
  • ПОЛОЖЕНИЕ о защите персональных данных работников (Образец)
  • Персональные данные и Трудовой кодекс
  • Разработка положения о защите персональных данных: что необходимо учесть?
  • Как подготовиться к проверке соблюдения закона «О персональных данных»
  • young haitai double anal