1. Общие положения

1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение разработано на основании статей Конституции РФ, Трудового Кодекса РФ, Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федерального закона «Об информации, информатизации и защите информации»

1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

1.4. Настоящее Положение утверждается и вводится в действие приказом генерального директора и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

2. Понятие и состав персональных данных

2.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2. В состав персональных данных работника входят:

Анкетные и биографические данные;

Образование;

Сведения о трудовом и общем стаже;

Сведения о составе семьи;

Паспортные данные;

Сведения о воинском учете;

Сведения о заработной плате сотрудника;

Сведения о социальных льготах;

Специальность,

Занимаемая должность;

Наличие судимостей;

Адрес места жительства;

Домашний телефон;

Место работы или учебы членов семьи и родственников;

Характер взаимоотношений в семье;

Состав декларируемых сведений о наличии материальных ценностей;

Подлинники и копии приказов по личному составу;

Личные дела и трудовые книжки сотрудников;

Основания к приказам по личному составу;

Копии отчетов, направляемые в органы статистики.

2.3. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

3. Обработка персональных данных

3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.2.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.

3.2.3. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.

3.2.4. Персональные данные следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.2.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.

3.2.6. Работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.3. К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники:

Бухгалтерии;

Сотрудники службы управления персоналом;

Сотрудники компьютерных отделов.

3.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.

3.4.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

3.5. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.

3.5.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

Не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

Разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

Передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

3.5.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

3.5.3. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.

3.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.7. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

3.8. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

3.9. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.

4. Доступ к персональным данным

4.1. Внутренний доступ (доступ внутри организации).

4.1.1. Право доступа к персональным данным сотрудника имеют:

Генеральный директор организации;

Руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);

При переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;

Сам работник, носитель данных.

Другие сотрудники организации при выполнении ими своих служебных обязанностей.

4.1.2. Перечень лиц, имеющих доступ к персональным данным работников, определяется приказом генерального директора организации.

4.2. Внешний доступ.

4.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:

Налоговые инспекции;

Правоохранительные органы;

Органы статистики;

Страховые агентства;

Военкоматы;

Органы социального страхования;

Пенсионные фонды;

Подразделения муниципальных органов управления;

4.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

4.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

4.2.4. Другие организации.

Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия. (УК РФ).

5. Защита персональных данных

5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

5.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

5.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

5.5. «Внутренняя защита».

5.5.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации.

5.5.2. Для обеспечении внутренней защиты персональных данных работников необходимо соблюдать ряд мер:

Ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

Строгое избирательное и обоснованное распределение документов и информации между работниками;

Рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

Знание работником требований нормативно – методических документов по защите информации и сохранении тайны;

Наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

Определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

Организация порядка уничтожения информации;

Своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;

Воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

Не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только генеральному директору, работникам отдела персонала и в исключительных случаях, по письменному разрешению генерального директора, - руководителю структурного подразделения. (например, при подготовке материалов для аттестации работника).

5.5.3. Защита персональных данных сотрудника на электронных носителях.

Все папки, содержащие персональные данные сотрудника, должны быть защищены паролем, который сообщается руководителю службы управления персоналом и руководителю службы информационных технологий

5.6. «Внешняя защита».

5.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

5.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

5.6.3. Для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:

Порядок приема, учета и контроля деятельности посетителей;

Пропускной режим организации;

Учет и порядок выдачи удостоверений;

Технические средства охраны, сигнализации;

Порядок охраны территории, зданий, помещений, транспортных средств;

Требования к защите информации при интервьюировании и собеседованиях.

5.7. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.

5.8. По возможности персональные данные обезличиваются.

5.9. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.

6. Права и обязанности работника

6.1. Закрепление прав работника, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.

6.2. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

6.3. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:

Требовать исключения или исправления неверных или неполных персональных данных.

На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

Персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;

Определять своих представителей для защиты своих персональных данных;

На сохранение и защиту своей личной и семейной тайны.

6.4. Работник обязан:

Передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.

Своевременно сообщать работодателю об изменении своих персональных данных

6.5. Работники ставят работодателя в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.

6.6. В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

7.1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

7.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

7.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

7.4. Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

7.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.

7.5.2. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

7.5.3. В соответствии с Гражданским Кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.

7.5.4. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.

7.6. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

Составил:

менеджер по персоналу Е.Н.Побегайло

СОГЛАСОВАНО

Юрисконсульт

С.Г.Дмитраш

Содержащих нормы трудового права, по кругу лиц,

Во времени и в пространстве

Лекция 4. Субъекты трудового права

Понятие, свойства и классификация субъектов трудового права

Работники и работодатели - основные субъекты трудового права

Профсоюзы как субъекты трудового права

Коллектив работников как вспомогательный субъект трудового права

Лекция 5. Права профсоюзов в сфере трудовых отношений

Правовые основы деятельности профессиональных союзов

Основные права профсоюзов и их классификация

Лекция 6. Правоотношения в сфере трудового права

Понятие и структура трудового правоотношения

Правоотношения, непосредственно связанные с трудовыми

Юридические факты (основания) возникновения, изменения и прекращения трудовых правоотношений

Лекция 7. Социальное партнерство в сфере труда

Система социального партнерства в сфере труда

Понятие и содержание коллективных договоров

Социально-партнерские соглашения

Особенная часть Лекция 8. Правовое регулирование занятости

Понятие занятости населения

Правовая организация трудоустройства

Лекция 9. Трудовой договор: понятие, стороны, содержание и порядок заключения

1. Понятие, стороны и содержание трудового договора

2. Виды трудовых договоров

3. Порядок заключения трудового договора (прием на работу)

Понятие, стороны и содержание трудового договора

Виды трудовых договоров

Порядок заключения трудового договора (прием на работу)

Лекция 10. Изменение трудового договора

Перевод на другую работу и перемещение на другое рабочее место

Перевод на другую работу и перемещение на другое рабочее место

Временный перевод на другую работу и отстранение от работы

Лекция 11. Прекращение трудового договора

1. Общие основания прекращения трудового договора

1. Соглашение сторон (п. 1 ст. 77, ст. 78 тк рф).

2. Истечение срока трудового договора, за исключением случаев, когда трудовые отношения фактически продолжаются и ни одна из сторон не потребовала их прекращения (п. 2 ст. 77 тк рф).

9. Отказ работника от перевода на работу в другую местность вместе с работодателем (ч. 1 ст. 72" тк рф).

2. Прекращение трудового договора по инициативе работника (увольнение по собственному желанию)

3. Прекращение трудового договора по инициативе работодателя

Ликвидация организации либо прекращение деятельности ин­дивидуальным предпринимателем.

2. Сокращение численности или штата работников организа­ции, индивидуального предпринимателя.

3. Несоответствие работника занимаемой должности или выполняемой работе вследствие недостаточной квалификации, подтвержденной результатами аттестации.

4. Смена собственника имущества организации (в отношении руководителя организации, его заместителей и главного бухгалтера).

Неоднократное неисполнение работником без уважительных причин трудовых обязанностей, если он имеет дисциплинарное взыскание.

6. Однократное грубое нарушение работником трудовых обязанностей:

4. Прекращение трудового договора по обстоятельствам, не зависящим от воли сторон

Лекция 12. Защита персональных данных работника

1. Понятие персональных данных работника, общие требования при обработке персональных данных и гарантии их защиты

Передача персональных данных работника

Лекция 13. Рабочее время и режим труда

Понятие рабочего времени

Нормирование и виды рабочего времени

Работа за пределами установленной продолжительности рабочего времени

Режим труда и учет рабочего времени

Лекция 14. Время отдыха и его виды

Понятие и виды времени отдыха

2. Виды и порядок предоставления отпусков

Лекция 15. Оплата и нормирование труда

Заработная плата и системы оплаты труда

2. Оплата труда в случаях выполнения работы в условиях, отклоняющихся от нормальных

3. Нормирование труда

Лекция 16. Гарантии и компенсации работникам по трудовому праву

1. Понятие гарантий и компенсаций работникам

2. Гарантии и компенсации, связанные с производством и действиями работодателя, правом работника на оплачиваемый отпуск и сокращенный рабочий день

Выходное пособие (ст. 178 тк рф).

4. Дополнительные гарантии и компенсации".

3. Гарантии и компенсации, связанные с исполнением государственных и общественных обязанностей

4. Гарантии и компенсации, связанные с одновременной работой и обучением работника

Лекция 17. Дисциплина труда

1. Правовое регулирование дисциплины труда и трудового распорядка

3. Метод принуждения.

2. Поощрения за труд

3. Дисциплинарные взыскания и порядок их применения

Лекция 18. Правовое регулирование профессиональной подготовки, переподготовки и повышения квалификации работников

1. Полномочия работников и работодателя в сфере профессиональной подготовки, переподготовки и повышения квалификации

2. Ученический договор

Лекция 19. Правовые основы охраны труда

1. Понятие, правовое регулирование и организация охраны труда

2. Требования охраны труда

3. Обеспечение прав работника на охрану труда

3. Обеспечение прав работника на охрану труда

4. Расследование несчастных случаев на производстве

Лекция 20, Материальная ответственность сторон трудового договора

1. Понятие и условия наступления материальной ответственности стороны трудового договора

2. Материальная ответственность работодателя перед работником

3. Материальная ответственность работника за ущерб, причиненный работодателю

2. При недостаче ценностей, вверенных работнику на основа­нии специального письменного договора или полученных им по разо­вому документу.

3. При умышленном причинении ущерба работником.

4. При причинении ущерба в состоянии алкогольного, наркотического или иного токсического опьянения.

5. При причинении ущерба в результате преступных действий работника, установленных приговором суда.

6. При причинении ущерба в результате административного проступка, если таковой установлен соответствующим государственным органом.

7. При разглашении сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами.

8. При причинении ущерба не при исполнении работником трудовых обязанностей.

Лекция 21. Защита трудовых прав и свобод

Понятие и способы зашиты трудовых прав и свобод

2. Государственный надзор и контроль за соблюдением трудового законодательства

Лекция 12. Защита персональных данных работника

Согласно ст. 23 Конституции РФ каждый имеет право на не­прикосновенность частной жизни, личную, семейную тайну, за­щиту своей чести и доброго имени. Реализация данного права обеспечивается положением ст. 24 Конституции, устанавливаю­щим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускают­ся. Всеобщая декларация прав человека (ст. 12) провозглашает, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательст­вам на неприкосновенность его жилища, тайну его корреспон­денции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких по­сягательств. Аналогичное правило содержится в Международ­ном пакте о гражданских и политических правах (ст. 17).

Нормы, регламентирующие порядок защиты персональных данных работника, впервые появились в отечественном трудовом законодательстве только с принятием Трудового кодекса РФ. Они содержатся в гл. 14 ТК РФ, входящей в раздел «Трудовой до­говор». Включение в Кодекс понятия «персональные данные ра­ботника» обусловлено необходимостью упорядочения отноше­ний по получению и использованию работодателем информации о работнике личного характера, формирования четких правил защиты данной информации от ее неправомерного использования.

1. Понятие персональных данных работника, общие требования при обработке персональных данных и гарантии их защиты

Согласно ст. 85 ТК РФ под персональными данными работни­ка понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работ­ника.

Указанное определение основано на положениях Конвен­ции Совета Европы «О защите физических лиц при автомати­зированной обработке персональных данных» от 28 января 1981 г.1, в ст. 2 которой под «персональными данными» пони­мается информация, касающаяся конкретного или могущего быть идентифицированным лица (субъекта данных).

Статья 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»2 (далее - Закон о персональных данных) определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). При этом под информацией, согласно Федеральному за­кону от 27 июля 2006 г. № 149-ФЗ «Об информации, информаци­онных технологиях и защите информации»1, понимаются любые сведения (сообщения, данные) независимо от формы их пред­ставления.

Персональные данные работников могут быть двух видов: данные, представляющие собой факты, не подлежащие субъективной оценке (например, специальность работника, приобретенная им по окончании учебного заведения); данные оценочного характера, которые могут, в частности, содержаться в характеристике работника, заключении аттестационной комиссии и т. п.

Все сведения, составляющие информацию о работнике, по срокам их получения и нахождения у работодателя могут быть подразделены на три группы:

а) сведения, представляемые работником при приеме на работу;

б) сведения, создаваемые и получаемые работодателем в период трудовой деятельности работника;

в) сведения о работнике, хранящиеся у работодателя после прекращения с ним трудовых отношений.

Под обработкой персональных данных Конвенция от 28 янва­ря 1981 г. понимает накопление данных, проведение логиче­ских и (или) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение. Статья 85 ТК РФ в принципе аналогично определяет понятие обработки персональных данных работника - как получение, хранение, комбинирование, передача или любое другое исполь­зование персональных данных работника".

Как видно, законодатель определил четыре формы обработ­ки персональных данных в сфере трудовых отношений - полу­чение, хранение, использование и передача.

Персональные данные работников, т. е. та информация, ко­торой обладает работодатель, как в условиях ее ручной обра­ботки, так и в случае использования автоматизированных ин­формационных систем может стать в определенной мере от­крытой и привести к ущемлению их интересов и прав, причинить моральный вред и материальный ущерб. В связи с этим в ТК РФ закрепляются принципы, лежащие в основе об­работки персональных данных работника, положения о поряд­ке их хранения и использования в организации, о передаче персональных данных, правах работника по их защите, об от­ветственности лиц за невыполнение требований норм, регули­рующих обработку и защиту персональных данных работника.

В соответствии со ст. 7 Закона о персональных данных и п. 1 Перечня сведений конфиденциального характера, утвер­жденного Указом Президента РФ от 6 марта 1997 г. № 188", персональные данные работника как сведения о фактах, собы­тиях и обстоятельствах частной жизни гражданина, позволяю­щие идентифицировать его личность, относятся к числу сведе­ний конфиденциального характера. Такой правовой режим пер­сональных данных работника предполагает особый порядок работы с указанными данными и особый режим их охраны.

Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» предъ­являет достаточно жесткие требования к работе с персональны­ми данными. Персональные данные должны: быть получены и обработаны добросовестным и законным образом; накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями; быть адекватными, относящимися к делу и не быть избы­точными применительно к целям, для которых они накаплива­ются; быть точными и при необходимости обновляться; храниться в такой форме, которая позволяет идентифициро­вать субъектов данных не дольше, чем этого требует цель, для которой они накапливаются.

Основные принципы обработки персональных данных в Россий­ской Федерации соответствуют требованиям указанной Кон­венции и содержатся в ст. 5 Закона о персональных данных. К ним относятся: законность целей и способов обработки персональных данных; соответствие целей обработки данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; соответствие объема и характера обрабатываемых персональных данных и способов их обработки целям обработки персональных данных; достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки данных, избыточных по отношению к целям, заявленным при сборе персональных данных; недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Кроме того, установлено, что обработка персональных дан­ных может осуществляться оператором только с согласия субъ­ектов персональных данных, за исключением случаев, преду­смотренных ч. 2 ст. 6 указанного Закона.

В ст. 86 ТК РФ содержатся следующие требования к россий­ским работодателям и их представителям, направленные на обеспечение прав и свобод человека и гражданина при обра­ботке персональных данных работника.

1. Обработка персональных данных работника может осуще­ствляться исключительно в целях: обеспечения соблюдения законов и иных нормативных пра­вовых актов; содействия работникам в трудоустройстве, обучении и про­движении по службе; обеспечения личной безопасности работников; под оператором понимается государственный орган, муници­пальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также опре­деляющее цели и содержание обработки персональных данных. Следо­вательно, любой работодатель является оператором персональных дан­ных своих работников контроля количества и качества выполняемой работы; обеспечения сохранности имущества.

2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руковод­ствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами.

Так, согласно ст. 65 ТК РФ при приеме на работу работодатель получает о работнике следующую информацию: о трудовом стаже, подтверждаемом трудовой книжкой; о регистрации работника в системе обязательного пенсион­ного страхования, подтверждаемую соответствующим страхо­вым свидетельством; о состоянии работника на воинском учете, подтверждаемую документами воинскою учета; об образовании, квалификации работника, наличии у него специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки); о возрасте работника, дате и месте его рождения, месте регистрации, подтверждаемую паспортом или иным документом, удостоверяющим личность; о наличии или отсутствии у работника семейных обязанно­стей, что подтверждается паспортом.

Перечень стандартизированных персональных данных работ­ника, получаемых от него работодателем, можно также опреде­лить на основании постановления Госкомстата РФ от 5 января 2004 г. № 1, которым, в частности, утверждена форма личной карточки работника. К сведениям, содержащимся в карточке, кроме перечисленных выше относятся данные о знании ино­странного языка, иных ближайших родственниках (кроме супру­га и детей), фактическом адресе места жительства, номере до­машнего телефона. Но поскольку получение указанной инфор­мации не предусмотрено федеральным законом, отказ работника от ее предоставления не может повлечь для него неблагоприят­ных последствий.

В силу своих обязанностей налогового агента работника (ст. 24 Налогового кодекса РФ) работодатель также должен иметь информацию об идентификационном номере налогопла­тельщика - физического лица (если такой номер имеется), а также информацию, на основании которой производятся нало­говые вычеты (инициативу в ее предоставлении, как правило, проявляет сам работник).

В отдельных случаях, установленных федеральными закона­ми, работодатель может получать информацию о состоянии здоровья работника путем проведения медицинского освиде­тельствования при заключении трудового договора, периодиче­ских и внеочередных медицинских осмотров (ст. 213 ТК РФ), и информацию о дактилоскопической регистрации работников.

3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Работодатель должен сообщить работнику о целях, предпо­лагаемых источниках и способах получения персональных дан­ных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное со­гласие на их получение.

Извещение работника о предполагаемом получении его пер­сональных данных у иного лица обычно осуществляется в фор­ме соответствующего уведомления, предъявляемого работнику под расписку. При отказе работника составляется акт.

4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Информация о религиозных убеждениях работника может иметь крайне существенное значение при заключении работни­ком трудового договора с религиозной организацией, если его трудовая функция предполагает участие в совершении религи­озных обрядов.

Данные о частной жизни предоставляются непосредственно работником в целях реализации его трудовых прав и интересов. К информации о частной жизни относятся прежде всего дан­ные о семейных обязанностях работника, наличии или отсутст­вии детей, их возрасте.

5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.

Так, Трудовой кодекс обязывает работодателя перед уволь­нением работника, являющегося членом профсоюза, в опреде­ленных случаях испросить мотивированное мнение органа пер­вичной профсоюзной организации (ст. 82). Соответственно, Кодекс фактически обязывает работодателя собирать и обраба­тывать информацию о членстве работника в конкретном проф­союзе и о его профсоюзной деятельности, а профессиональный союз - предоставлять такую информацию по запросу работо­дателя.

6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Указанное правило введено в связи с тем, что базы данных, хранящиеся в электронном виде, в большей мере, чем инфор­мация, содержащаяся на бумажном носителе, доступны для не­правомерного внедрения и изменения или для корректировки, осуществляемой в результате сбоя в компьютерной программе.

7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ или иными федеральными законами.

Защита персональных данных, как и защита любой инфор­мации, согласно ст. 16 Федерального закона «Об информации, информационных технологиях и защите информации», пред­ставляет собой принятие правовых, организационных и техни­ческих мер, направленных на: обеспечение защиты информации от неправомерного досту­па, уничтожения, модифицирования, блокирования, копирова­ния, предоставления, распространения, а также иных неправо­мерных действий; соблюдение конфиденциальности информации ограничен­ного доступа; предотвращение уфоз безопасности личности, общества, го­сударства; реализацию права на доступ к информации.

Защите подлежат любые персональные данные работника, неправомерное обращение с которыми может причинить ущерб как ему (собственнику информации), работодателю (владельцу информации), пользователю информацией, так и иному лицу.

Основные принципы защиты данных личного характера по­лучили закрепление в Конвенции Совета Европы 1981 г. «О за­щите физических лиц при автоматизированной обработке пер­сональных данных» и Кодексе практики по защите личных дан­ных о работнике, разработанном и одобренном МОТ в 1996 г.

8. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

В соответствии со ст. 87 ТК РФ порядок хранения и исполь­зования персональных данных работников устанавливается рабо­тодателем с соблюдением требований Трудового кодекса и иных федеральных законов. Персональные данные работника хранятся в документированной форме, характер которой также определяется работодателем. Стандартизированный перечень документации по учету труда и его оплаты установлен поста­новлением Госкомстата РФ от 5 января 2004 г. № 1. Докумен­ты, содержащие информацию о конкретном работнике, фор­мируют его личное дело. Сроки хранения персональных данных работников определяются на основании Перечня типовых управленческих документов, образующихся в деятельности ор­ганизаций, с указанием сроков хранения, утвержденного руко­водителем Федеральной архивной службы России 6 октября 2000 г.

Как полагают специалисты, работодатель должен разрабо­тать специальный локальный нормативный правовой акт, кото­рый должен включать: перечень сведений, относящихся к персональным данным работника по различным категориям должностей; порядок получения персональных данных у третьих лиц, включая последствия для работника в случае его отказа дать со­гласие на их получение; порядок обработки, хранения и использования персональ­ных данных с установлением индивидуальных обязанностей представителей работодателя и ответственности за их наруше­ние; права и обязанности работников на защиту своих персо­нальных данных; порядок ознакомления с актом всех работающих, а также вновь принятых на работу работников.

9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Отказ от указанных прав может нарушить неприкосновен­ность частной жизни работников, их личную и семейную тай­ну, причинить моральный и материальный ущерб.

10. Работодатели, работники и их представители должны со в местно вырабатывать меры защиты персональных данных работников.

В частности, представители работников могут участвовать в разработке локального нормативного акта, регламентирующего порядок хранения и использования персональных данных ра­ботников.

Аннотация: Лекция позволяет изучить основные термины и базовые законы Российской Федерации в области защиты персональных данных.

Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ "О персональных данных" установлены три регулятора:

• Роскомнадзор (защита прав субъектов персональных данных)
• ФСБ (требования в области криптографии)
• ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналам).

Так как ФЗ "О персональных данных" является лишь основой правового обеспечения защиты ПД, его требования в дальнейшем были конкретизированы в актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов.

2.2. Категории персональных данных

ФЗ "О персональных данных" выделяет следующие категории персональных данных.

Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес , абонентский номер, сведения о профессии и иные персональные данные , предоставленные субъектом персональных данных.

Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

Специальные категории ПД - персональные данные , касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

• субъект ПД дал согласие в письменной форме на обработку своих персональных данных;
• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
• обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;
• обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия .

Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории персональных данных , которые обрабатываются в ИСПД:

Определение биометрических данных в российском законодательстве предоставляет оператору персональных данных возможность принятия самостоятельного решения об отнесении тех или иных данных к биометрическим. Это породило немало споров. Рассмотрим пример с фотографией. С одной стороны, она характеризует физиологические особенности человека. Но человек с течением времени может сильно измениться или злоумышленник может подделать внешние признаки под законного субъекта. Так ли однозначно в данном случае установление личности? В настоящее время представители регуляторов подтверждают, что фотография и видеоизображения относятся к биометрическим данным.

2.3. Права субъекта персональных данных

Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим основные права субъекта ПД, установленные ФЗ-№152.

1. Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД. Субъект вправе требовать от оператора уточнения ПД, их блокирования или уничтожения, если они устаревшие, неполные или не являются необходимыми для заявленной цели обработки. Доступ к своим ПД предоставляется субъекту(или его представителю) при обращении либо на основании запроса. Полученная информация может содержать следующие сведения:
   • цель обработки ПД
   • способы обработки ПД
   • сроки обработки ПД
   • перечень допущенных к обработке ПД лиц
   • перечень обрабатываемых ПД и источник их получения
   • сведения о возможных юридических последствиях обработки ПД для субъекта ПД.

   Закон определяет случаи, когда данное право субъекта ПД ограничивается, например, если речь идет о безопасности страны, нарушении конституционных прав и свобод других лиц или оперативно-розыскной деятельности.

2. Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. В данном случае обработка осуществляется только при условии предварительного согласия субъекта. При этом важно отметить, что обработка признается осуществленной без согласия субъекта, если оператор не доказал обратное. Оператор обязан немедленно прекратить обработку ПД по требованию субъекта.
3. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Закон запрещает принятие решений в отношении субъекта ПД исключительно на основании автоматизированной обработки, если не получено его согласия в письменной форме или в случаях, предусмотренных федеральными законами.
4. Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Необходимо отметить, что субъект ПД имеет право на возмещение убытков и компенсацию материального вреда в судебном порядке.

2.4. Обязанности оператора персональных данных

Ранее мы рассмотрели понятие оператора персональных данных и действия, являющиеся обработкой персональных данных . Исходя из определения, можно сделать вывод о том, что все без исключения организации являются операторами ПД, так как они накапливают, собирают и обрабатывают информацию о своих сотрудниках в рамках Трудового кодекса РФ. Помимо этого многие организации собирают сведения о своих клиентах, подрядчиках, поставщиках и партнерах в рамках своей основной деятельности. Главными обязанностями оператора ПД является уведомление Роскомнадзора об обработке ПД и,собственно, защита ПД.

Законом предусмотрены случаи, когда оператор не обязан уведомлять Роскомнадзор об обработке ПД:

1. если его связывают с субъектом трудовые отношения;
2. если между оператором и субъектом существует договор и данные необходимы для исполнения обязательств по нему;
3. если данные относятся к членам религиозных объединений и общественных организаций и обрабатываются в соответствии с учредительными документами и с законом.
4. если данные являются общедоступными;
5. если включают в себя только ФИО;
6. данные необходимы для однократного пропуска на территорию оператора или аналогичных целей;
7. если данные включены в федеральные автоматизированные информационные системы и государственные информационные системы персональных данных;
8. если данные обрабатываются без использования средств автоматизации в соответствии с законами РФ.

Важно отметить, что оговаривается обязанность оператора не передавать персональные данные третьим лицам.

При этом многие организации допускают ошибку в том, что если они не обязаны уведомлять уполномоченный орган об обработке ПД, то можно не выполнять обязанности, возлагаемые законом на операторов ПД. Такие действия являются противозаконными, однозначно трактуются как невыполнение требований законодательства и караются мерами, предусмотренными Законом.

Рассмотрим основные обязанности оператора персональных данных, предусмотренные ФЗ-№152:

1. Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
2. Уведомительный характер обработки персональных данных. В соответствии со статьей 2 ФЗ-№152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Роскомнадзор вносит сведения об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.
3. При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными). Важно отметить, что субъект имеет право отозвать данное разрешение.
4. Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных.

   Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПД или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

   Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПД являются общедоступными.

5. Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа. Функциями контроля и надзора государство наделило Роскомнадзор, ФСТЭК и ФСБ.

Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о нем:

1. обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
2. оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
3. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
4. обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
5. обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
6. осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Во всех других случаях оператор должен соблюдать требования российского законодательства по обработке персональных данных. Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований.

Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).

В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1_го года, аресте до 6_ти месяцев и лишении права занимать должность на срок до 5_ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).

При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.

Правовые вопросы, связанные с защитой персональных данных, волнуют юристов, которые ведут свою деятельность в разных сферах закона. Это связано с тем, что в любой области права имеется определенный перечень информации, которая требует обеспечения ее конфиденциальности и нераспространения третьим лицам теми, кому она была вверена в ходе исполнения ими должностных обязанностей.

Итак, рассмотрим далее то, какая информация относится к данной группе, а также особенности системы защиты персональных данных. Как она работает на предприятиях и в организациях? Кроме этого, рассмотрим то, что должно входить в структуру Положения о защите персональных данных работников (образец) и каким образом оно принимается.

Общее понятие

Если говорить об общем понятии, то конфиденциальная информация - это все те сведения, которые имеют непосредственное отношение к определенному физическому лицу. Как правило, это его личные данные. Если изъясняться юридическим термином, то данное лицо в практике специалистов в области права именуется субъектом персональных данных.

Какие данные законодатель относит к категории рассматриваемых? В первую очередь, это фамилия, имя и отчество человека, а также дата и место его рождения. Кроме этого, к группе таковых принадлежат сведения относительно места его проживания по факту, а также прописки. Сведения относительно семейного положения человека, а также его социального статуса, дохода и образования также относятся к группе конфиденциальной информации.

Законодательное регулирование работы с персональными данными в России. Основные нормативные акты

Что касается российского законодательства, то оно обеспечивает надлежащую защиту персональных данных людей, которые являются не только гражданами страны, но еще и пребывают на ее территории по любым обстоятельствам. Законодательство, которое регулирует данные вопросы, представлено несколькими нормативными актами. В частности, к группе таковых можно отнести основной Закон - Конституцию, а также ФЗ 152 "О защите персональных данных". Изменения в эти нормативные акты вносятся не очень часто, что позволяет специалистам более досконально изучить каждую новую поправку и применить ее на практике надлежащим образом.

Кроме российского законодательства, вопросы, связанные с защитой персональных данных, регулируются и международными нормативными актами. Кроме этого, данная деятельность ведется также и на основании нормативных актов, которые издаются органами местных властей, имеющимися в государстве. Законодатель отмечает, что в таких нормативных актах может содержаться регламент относительно обработки данных конкретного типа, но не могут быть предусмотрены правила, касающиеся ограничения определенных прав субъектов, которые являются носителями персональных данных.

Все законы и подзаконные акты, в которых прописаны требования относительно обработки персональных данных, а также обеспечения их защиты, в соответствии с законодательством, должны быть опубликованы официально на ресурсах, доступных для общества. Это правило имеет одно исключение, которое касается документов, регламентирующих работу с секретной информацией - данные сведения должны защищаться от доступа в довольно строгом порядке.

Принципы обработки данных персонального характера

В тексте ФЗ 152 "О защите персональных данных" говорится о том, что работа со сведениями, составляющими личную информацию, должна производиться исключительно в соответствии с определенными принципами. Какие они? Рассмотрим это далее более детально.

В первую очередь, все действия сотрудников органов и служб, которые имеют дело с обработкой личной информации, должны осуществляться с учетом основного принципа - законности. Это означает то, что все сведения, имеющиеся в базе, должны быть добыты законным путем, добросовестно и обработаны надлежащим образом, исключительно в рамках тех целей, для которых они были предоставлены. Кроме этого, должностное лицо, которое занимается обработкой вверенной ему информации, должно использовать те данные, которые позволяют рамки его полномочий.

Все способы обработки сведений, а также их характер, объем должны полностью соответствовать тем целям, для которых была принята в работу информация. В процессе деятельности не могут быть объединены сведения для обработки их в рамках нескольких целей единовременно. Исключением может стать только работа, производимая в информационной системе.

Все личные данные, которые предоставляются в обработку, должны быть достоверными - это также один из основных принципов работы с информацией рассматриваемого характера. Их объем должен быть достаточным для проведения операции в надлежащем виде, законодатель не допускает истребование у лица избыточных сведений, которые не требуются для проведения всех необходимых действий.

Условия, при которых возможна обработка сведений

В Положении о защите персональных данных предусматривается то, что вся работа с информацией, предоставленной на обработку, должна производиться на законных основаниях. Что это означает?

В первую очередь, следует помнить о том, что вся работа с личными данными должна осуществляться исключительно с согласия самого лица, которое является их обладателем. Что касается лица, которое совершает саму процедуру работы, то оно обязательно должно быть уполномоченным на то законом либо отдельным юридическим лицом, в котором производится обработка. В том случае, если лицо, которое принимает информацию, в ходе процесса работы со сведениями должен передать их иному сотруднику учреждения или организации, то в таком случае то самое иное лицо также обязано обеспечивать их сохранность.

В некоторых случаях законодатель предусматривает возможность использования личных данных без согласия на то субъекта, являющегося их непосредственным носителем. В частности, это касается того момента, когда производится использование данных для составления статистических отчетов, а также для достижения научных целей. Также это касается того случая, когда необходимо обеспечить исполнение договорных обязательств, защиту жизни и здоровья одного человека или целого общества. Кроме этого, наличие разрешения субъекта персональной информации не требуется в том случае, когда сведения используются в работе журналистами, в творческой или в научной деятельности. Однако, в Положении о защите персональных данных указывается то, что сведения могут быть применены исключительно профессиональной деятельности и только в том случае, если их раскрытие не принесет ущерб субъекту данной информации.

Особые категории персональной информации

Законодатель предусматривает определенный перечень персональной информации, которая представляет собой несколько категорий особого типа. К числу таковых относятся сведения о расовой принадлежности лица, о его философских и личных убеждениях, об интимной жизни, а также о состоянии здоровья. Данные группы сведений особенным образом охраняются законодательством и их разглашение ни в коем случае не допускается, за исключением определенных случаев. Какие они?

В первую очередь, следует обратить внимание на то, что согласие лица на раскрытие личных данных, относящихся к особым категориям, не требуется в том случае, если они уже являются общедоступными. По большей мере, это касается известных личностей, о жизни которых в открытых каждому источниках имеется немалое количество информации, в том числе, и личного характера.

В том случае, если субъект персональной информации особого характера дает свое письменное разрешение на разглашение сведений, они также могут быть раскрыты.

Что касается сведения относительно состояния здоровья человека, то защита персональной информации данной группы производится особым образом. В современной правовой практике имеется такое понятие, как "врачебная тайна". Именно благодаря ему и обеспечивается сохранность сведений медицинского характера, касающихся человека. Лица, которые, в силу своих должностных обязанностей, знают о состоянии здоровья пациента, не имеют права разглашать полученную информацию третьим лицам без письменного согласия на то самого клиента медицинского учреждения. В противном случае, лицо, которое не соблюдает данное правило, подвергается ответственности. Для получения доктором или иным профессиональным сотрудником медицинского или профилактического учреждения личной информации не требуется разрешение субъекта, так как неполучение специалистом информации относительно состояния здоровья человека может угрожать ему смертью или существенным ухудшением общего положения организма.

В современной практике также разрешается обработка информации личного характера, представленной в группе особых сведений, осуществляемая в процессе проведения следственных действий или судебного разбирательства дела по существу.

Персональные данные биометрического характера

В современную эпоху высоких технологий все большую популярность набирает новый вид личной информации - биометрические данные. Они представляют собой особую группу сведений. Обработка и защита персональных данных этого типа также производится на основании Закона РФ "О персональной информации".

В указанном акте говорится о том, что обработка данных биометрического характера, к числу которых относятся все те сведения, которые характеризуют биологические особенности конкретного человека, может быть произведена исключительно на основании письменного согласия, которое должно быть предоставлено субъектом личных данных непосредственно.

Однако, несмотря на такую строгость закона в отношении защиты конфиденциальности биометрических данных человека, и из этого имеется исключение. Оно заключается в отсутствии необходимости предоставления письменного согласия лица на обработку биометрической информации в случае ведения оперативно-розыскных мероприятий, которые могут производиться правоохранительными органами различных категорий, а также сотрудниками пограничных и миграционных служб.

Меры по обеспечению безопасности данных

После того, как личные данные субъектов принимаются в обработку, оператор и лица, которые принимают сведения на рассмотрение, обязаны обеспечивать их безопасность, которая заключается, в первую очередь, в отсутствии возможности попадания их к посторонним лицам. Какие предусматриваются требования к защите персональных данных?

Процедуры, связанные с обеспечением сохранности личных данных лиц, должны производиться с момента приема информации в обработку. Для этого оператор, который осуществляет данную деятельность, должен принимать меры технического и организационного характера, которые позволят обеспечить желаемую цель. Как правило, для этого используются средства шифровального типа (криптографические), которые препятствуют неправомерному и случайному доступу к внесенным сведениям, их копированию, блокированию, видоизменению и иных операций, которые могут быть произведены над данными, внесенными в открытом виде.

В том случае, если данные обрабатываются в рамках информационных систем, также должна обеспечиваться надлежащая безопасность. Определенные требования выдвигаются к материалам, на которых хранятся данные биометрического характера, а также к технологиям, при помощи которых обеспечивается сохранность элементов.

Над теми лицами и службами, деятельность которых связана со сбором, обработкой и хранением личных данных людей, законодатель устанавливает определенный контроль, который обеспечивает надлежащее исполнение ими всех предписанных в Законе №152 "О защите персональных данных" пунктов. В качестве контролирующих лиц и органов, в первую очередь, выступают представители исполнительной власти, призванные обеспечивать безопасность в различных сферах деятельности. Они имеют право производить контроль исключительно в пределах тех полномочий, которые представляются для них Законом, без возможности прямого доступа к конфиденциальной информации.

Любая контрольная и надзорная деятельность уполномоченных на то лиц или органов может быть осуществлена по индивидуальному заявлению лица, сохранность личных данных которых не была обеспечена, в связи с чем произошла их утечка. Контролирующий субъект обязан рассмотреть представленное обращение, после чего произвести проверку, в результате которой должны быть приняты меры относительно дальнейшего обеспечения безопасной сохранности вверенных личных сведений, а также устранения негативных последствий, которые повлекло за собой их разглашение. В том случае, если оператор незаконным путем получил сведения или запросил те данные, которые являются излишними, контролирующий орган обязан потребовать их полное удаление, а также блокирование.

О конфиденциальности персональных данных

Действующий Закон "О защите персональных данных" (ФЗ 152) предусматривает необходимость обеспечения конфиденциальности всех сведений, которые предоставляются субъектами в обработку. Данная обязанность, как правило, возлагается на самого оператора, который принимает данные в обработку, а на предприятиях - на определенных лиц, предусмотренных в специальном Положении. Однако в двух случаях законодатель все же разрешает снять конфиденциальность со сведений. Первый из них - это случай, когда данные полностью обезличиваются. Иными словами, они могут быть раскрыты, но только таким образом, чтобы по предоставленным третьим лицам сведениям невозможно было установить, о чьих конкретно личных данных идет речь.

Второй случай снятия конфиденциальности с информации относится к и без того открытой информации. Как правило, к таким личным данным относятся имя и фамилия человека, год рождения, город и точное место проживания, номер телефона, а также данные об образовании, профессии, карьерных достижениях и т. п. Однако, такое возможно лишь в том случае, когда сам субъект персональной информации дал свое письменное разрешение на снятие конфиденциальности со сведений.

Разрешение субъекта

Как уже упоминалось выше несколько раз, для обработки персональных данных субъекта требуется его письменное разрешение на работу с предоставленными оператору сведениями. Оно может быть оформлено в письменной форме и закреплено личной подписью. При желании, субъект имеет право в любой момент отозвать свое разрешение.

Рассматриваемое разрешение обязательно должно включать в себя определенный перечень сведений о субъекте. В их числе указываются имя, фамилия и отчество, его место жительства, а также данные документа, выданного государством, который удостоверяет личность. Кроме этого, в нем обязательно должна быть указана цель, с которой предоставляются сведения в обработку, а также определенный перечень сведений, которые были приняты оператором. Также субъект должен указать способ обработки сведений, на который он соглашается.

В самом конце документа обязательно должен быть указан срок, на протяжении которого действует согласие субъекта, а также определен порядок, в котором может состояться отзыв написанного документа.

После отметки всех представленных выше данных, субъект персональной информации обязан поставить дату, когда был составлен документ, а также свою подпись.

В том случае, если лицо не имеет возможности дать согласие на обработку данных в связи со своей смертью, это должны сделать за него наследники. Если же лицо является недееспособным, либо по физиологическим причинам не имеет возможности собственноручно написать согласие, то это могут сделать его законные представители.

Обязанности оператора

ФЗ 152 "О защите персональных данных" представляет вниманию всех заинтересованных лиц определенный перечень обязанностей, которые должен соблюдать оператор, работающий с личными данными субъектов.

По первому же запросу (устному или письменному) оператор обязан предоставить субъекту, который является носителем личной информации, все сведения относительно того, для каких целей будут использованы все предоставленные им данные, каким именно образом произведется их обработка, а также то, в течение какого времени будет производиться процедура. В обязательном порядке данные сведения также должны быть предоставлены в момент приема сведений и их фиксации.

В том случае, если личные сведения должны быть предоставлены в обязательном порядке, оператор должен уведомить субъекта об этом, а также разъяснить возможные юридические последствия его отказа от данной процедуры.

В некоторых случаях оператор может получать личные данные лиц не от них самих, а через посредников. В таком случае он обязан уведомить субъекта персональной информации о том, кто предоставил его сведения, а также цель, для которой данное действие было совершено.

Обработка и защита персональных данных полностью возлагается на оператора, который принимает сведения от лица. Именно он и несет ответственность за ненадлежащее исполнение этой своей прямой обязанности.

Защита персональных данных в организациях и на предприятиях

На любого человека, который ведет трудовую деятельность на каком-либо предприятии или в организации, имеется заведенное, в соответствии с требованиями законодательства, личное дело, в котором отражается огромное количество сведений, представляющих собой персональную информацию. Их сохранность также должна обеспечиваться надлежащим путем. Все требования к данному процессу отражены в содержании Положения о защите персональных данных работников, которое должно составляться на каждом предприятии индивидуально. Следует отметить, что имеется единая рекомендательная форма данного нормативного акта, имеющего локальный характер, однако в ней, по большей части, представлены основные принципы и требования к содержанию. При желании, на любом предприятии может быть принято свое индивидуальное Положение о защите персональных данных работников. Образец данного документа не предусматривает особенностей ведения деятельности конкретного предприятия, что может быть исправлено в случае разработки и принятия индивидуального документа.

Что касается обеспечения сохранности сведений и защиты персональных данных работников, то данные функции могут осуществляться в порядке ведения зашифрованной базы данных, в которую вносятся все индивидуальные данные, предоставленные работниками. Такие информационные системы, как правило, имеют локальный или системный характер, кроме того, на предприятии их может быть несколько. В числе данных, внесенных в такие базы, как правило, содержатся данные относительно должности, оклада, сертификатов, научных званий, наград, списка индивидуальных клиентов, социального статуса и т. п.

Разработка Положения и сопутствующих документов

Процесс разработки рассматриваемого Положения также прописан в ФЗ "О защите персональных данных". Закон отмечает, что данный документ должен быть разработан и принят путем согласования каждого пункта. В первую очередь, следует разработать проект документа, в котором должны быть отмечены все основные положения, в числе которых обязательно необходимо предусмотреть порядок обработки сведений личного характера о сотрудниках.

В связи с тем, что любой субъект персональной информации должен дать свое разрешение на обработку его личных данных, на всех предприятиях и в организациях должны быть разработаны два дополнительных проекта: согласия на обработку предоставленных сведений, а также уведомления о том, что все данные будут включены в общую базу. Кроме этого, предприятие обязано создать документ, в содержании которого будет даваться обязательство относительно надлежащего хранения информации, имеющей статус ограниченного доступа.

О том, что на предприятии будет вестись рассматриваемая база данных, должен быть издан приказ, который обязан подписать руководитель или лицо, уполномоченное на то. В его тексте необходимо указать само название базы, утвердить Положение, которое вводится в структурном подразделении или на всем предприятии в целом, а также определить нововведения в деятельности должностных лиц, чья деятельность связана непосредственно с обработкой личной информации и ее хранением.

После составления проектов всех вышеперечисленных документов, на предприятии должна быть собрана комиссия для обсуждения представленных в них положений. Только после того, как все лица, вошедшие в состав комиссии, будут удовлетворены каждым положением, документы могут быть подписаны и введены в действие.

Для осуществления защиты персональных данных изменения могут быть произведены и в структурных подразделениях предприятий. Нередко с этой целью вводятся новые штатные должности или изменяются обязанности лиц, занимающих уже имеющиеся места. В Законе "О защите персональных данных" не устанавливается конкретный перечень сотрудников, которые являются ответственными за сохранность вверенных сведений. Как правило, такой круг лиц определяется Положением на каждом предприятии отдельно.

Структура Положения о защите персональных данных (образец)

Персональные данные работников любого предприятия должны охраняться надлежащим образом. Именно для этого, создавая Положение по предприятию, необходимо четко знать то, какие моменты в нем должны быть рассмотрены. Итак, рассмотрим примерную структуру Положения о защите персональных данных (образец).

Персональные данные, которые находятся под охраной и относятся к категории личных, должны быть в точности определены в данном документе. Как правило, в локальных актах большинства предприятий их перечень указывается сразу после вступительной части, в которой должны быть прописаны общие положения и основные понятия, которые могут быть использованы в документе. В Положении следует четко определить тот порядок, в котором будет осуществляться доступ к данным, а также круг лиц, имеющих право на это. В том случае, если на предприятии или в организации имеется определенный перечень личных сведений, которым присвоен статус особой секретности, доступ к ним должен быть определен отдельно.

В Положении обязательно должен предусматриваться четкий комплекс действий и мер, с помощью которых будет осуществляться охрана данных, ответственность за нарушение установленных требований, наказание разглашение персональных данных, а также за халатное отношение к своим должностным обязанностям, связанным с приемом, обработкой сведений и обеспечением их сохранности.

В образце Положения о защите персональных данных также говорится о том, что в его структуре должен быть раздел, посвященный правам и обязанностям, имеющимся у работников, связанных с обработкой их личных сведений.

При необходимости, в связи со спецификой деятельности предприятия, в Положении могут быть указаны и дополнительные требования и понятия.

Устранение нарушений в процессе обработки предоставленных личных сведений

Вся ответственность за отсутствие сохранности личных сведений субъекта, в соответствии с ФЗ "О защите персональных данных", полностью возлагается на самого оператора, который совершал прием сведений и их обработку. В случае нарушения требований, выдвинутых законодательством, он обязан принять все меры, которые необходимы для устранения нарушения.

В соответствии с ФЗ "О защите персональных данных", если субъект обращается в контролирующие органы с жалобой на ненадлежащую работу оператора, принявшего его личные сведения, эти данные должны быть немедленно заблокированы на тот период, пока будет проводиться проверка. После того, как нарушение будет установлено, оператор обязан устранить все недочеты - это следует сделать в течение трех суток с момента вынесения постановления контролирующим органом. В Законе "О защите персональных данных" говорится о том, что устранение нарушений должно быть произведено путем удаления информации о субъекте. То же самое следует сделать и в том случае, если субъект отозвал свое разрешение на обработку личной информации. Так, например, любое Положение о защите персональных данных работников (образец) обязательно должно иметь в своем содержании правила относительно удаления сведений о сотруднике, который отозвал свое разрешение на обработку своих личных данных.

Содержатся в Федеральном законе «О персональных данных». В соответствии с п. 1 ст. 3 этого Закона персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В соответствии с ч. 1 ст. 85 Г К РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Оценочный характер данного определения отражает лишь общий подход законодателя к категории персональных данных работника. Работодатель может собирать и обрабатывать не любую информацию о лице, являющемся его работником, а лишь ту, которая непосредственно связана с его трудовым правоотношением.

Защиту персональных данных работника можно рассматривать в нескольких аспектах. Во-первых, это гарантии, закрепленные в трудовом праве, которое представляет собой совокупность норм, регулирующих отношения по поводу персональных данных работника. Во-вторых, это система мероприятий организационно-правового характера, направленных на реализацию законодательных положений и выражающих политику работодателя в данной сфере. В-третьих, это обеспечение субъективного права работника на защиту своих персональных данных.

Информационные отношения возникают как между работником и работодателем, так и между каждым из них и третьими лицами. Отношения между работником и работодателем являются основными информационными отношениями. Поэтому их регулированию в законодательстве о труде отдастся приоритет. Работник не только обязан предоставлять сведения о себе, но и имеет право получать достоверную информацию об условиях труда и о требованиях охраны труда на рабочем месте (ст. 21 ТК РФ). Каждый работник имеет право на получение от работодателя достоверной информации об условиях и охране труда на рабочем месте, о существующем риске повреждения здоровья, а также о мерах по защите от воздействия вредных и (или) опасных производственных факторов (ч. 3 ст. 219 ТК РФ). Статья 210 этого Кодекса содержит термин «единая информационная система охраны труда». Получение от работодателя информации по вопросам, непосредственно затрагивающим интересы работников, является одной из основных форм участия работников в управлении организацией (ст. 53 ТК РФ). Работодатель обязан предоставлять представи телям работников полную и достоверную информацию, необходимую для заключения коллективного договора, соглашения и контроля за их выполнением (ст. 22 ТК РФ).

Определенные нормы отечественного кодифицированного закона о труде регулируют отношения по поводу конфиденциальной информации. Согласно ч. 3 ст. 57 ТК РФ в трудовом договоре могут предусматриваться условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной). Работодатель имеет право расторгнуть трудовой договор в случаях разглашения работником охраняемой законом тайны, ставшей известной ему в связи с исполнением им трудовых обязанностей, прекращения допуска к государственной тайне, если выполняемая работа требует допуска к государственной тайне (подп. «в» п. 6 ст. 81 ТК РФ). На работника возлагается материальная ответственность в полном размере причиненного ущерба в случае разглашения сведений, составляющих охраняемую законом тайну. В соответствии с ч. 8 ст. 37 ТК РФ участники коллективных переговоров, другие лица, связанные с велением коллективных переговоров, не должны разглашать полученные сведения, если эти сведения относятся к охраняемой законом тайне. Лица, разгласившие указанные сведения, привлекаются к дисциплинарной, административной, гражданско-правовой, уголовной ответственности в установленном законодательством порядке. Персональные данные гражданина в соответствии с действующими нормативными актами относятся к сведениям конфиденциального характера 1 . Поэтому положения ТК РФ по поводу охраняемой законом тайны также относятся к персональным данным работника.

В рыночных условиях хозяйствования эффективность и результативность деятельности работодателя непосредственным образом связаны с ее своевременным обеспечением информационными ресурсами. Деятельность работодателя в отношении персональных данных работника регулируется императивными нормами, что обусловлено публичной составляющей отрасли трудового права в целом и института защиты персональных данных работника в частности. Право на защиту персональных данных имеет абсолютный характер. Оно предоставлено каждому работнику безотносительно к размеру его вклада в достижение организацией поставленных задач. Поэтому согласно п. 9 ст. 86 ТК РФ работники не должны отказываться от своих прав на сохранение и защиту тайны.

Свое право на защиту персональных данных работники могут реализовать путем свободного бесплатного доступа к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника; путем определения своих представителей для защиты своих персональных данных; путем получения полной информации о персональных данных и их обработке; путем предъявления к работодателю требования об исключении или исправлении неверных либо неполных персональных данных, а также данных, обработанных с нарушением законодательных требований; путем обжалования в суд любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника и др. (ст. 89 ТК РФ).

Состав персональных данных

При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами (п. 2 ст. 86 ТК РФ). В своей деятельности работодатель использует документы двух видов. Первую группу документированной информации представляет работник при заключении трудового договора. Документы второй группы работодатель формирует самостоятельно. Трудовая книжка работника может относиться как к первой, так и ко второй группе документов. Это зависит от того, имеется она у работника до возникновения трудовых отношений с данным работодателем или заполняется впервые.

Документы первой категории в ТК РФ названы «документами, предъявляемыми при заключении трудового договора» (ст. 65). К ним относятся паспорт или иной документ, удостоверяющий личность; трудовая книжка; страховое свидетельство государственного пенсионного страхования; документы воинского учета; документы об образовании, о квалификации или наличии специальных знаний; иные документы, необходимость предъявления которых предусмотрена законодательством. Перечисленные документы содержат фотоизображение работника, информацию об имени, фамилии, отчестве, дате и месте рождения, состоянии в браке, составе семьи, месте регистрации, отношении к воинской службе, гражданстве, времени, месте получения образования, специальности работника.

Вторая группа документов создается работодателем. В подзаконных актах она обозначается как «первичная учетная документация по учету труда и его оплаты». К ним относятся приказы (распоряжения) о приеме, перемещении работника, расторжении трудового договора с ним, поощрении работника, а также личная карточка работника, документы по расчетам с персоналом по оплате труда. Помимо сведений, дублирующих положения первой группы документов, они содержат информацию об общем и непрерывном стаже работы, датах приема и переводов на другую работу, структурном подразделении, решении аттестационной комиссии, повышении квалификации, профессиональной переподготовке, поощрениях и наградах работника, сроках и видах отпусков, социальных льготах, на которые работник имеет право.

Ответственность за нарушение норм, регулирующих защиту персональных данных работника

В соответствии с действующим законодательством предусмотрено несколько видов ответственности за нарушение норм в области защиты персональных данных (гражданско-правовая, материальная, дисциплинарная, административная и уголовная). Для отдельных составов правонарушений установлены санкции в отношении не только физических и должностных, но и юридических лиц. Таким образом, привлечение к отдельным видам ответственности возможно и для работников, и для работодателей.

Статья 150 ГК РФ к числу неотъемлемых и неотчуждаемых нематериальных прав, подлежащих правовой защите, относит личную неприкосновенность, неприкосновенность частной жизни, личную и семейную тайну. Гражданско-правовая ответственность за посягательство на неприкосновенность частной жизни непосредственно связана с категорией морального вреда. Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.

При определении размеров компенсации морального вреда суд принимает во внимание степень вины нарушителя и иные, заслуживающие внимания обстоятельства. Суд должен также учитывать степень физических и нравственных страданий, связанных с индивидуальными особенностями лица, которому причинен вред (ст. 151 ГК РФ). Кроме того, гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности. Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина (ст. 152 и 153 ГК РФ). Разъяснения вопросов, связанных с причинением морального вреда, содержатся в постановлении Пленума Верховного Суда РФ от 20 декабря 1994 г. № 10 «Некоторые вопросы применения законодательства о компенсации морального вреда». Компенсация морального вреда осуществляется в денежной форме. Характер физических и нравственных страданий оценивается судом с учетом фактических обстоятельств, при которых был причинен моральный вред, и индивидуальных особенностей потерпевшего (ст. 1101 ГК РФ).

Работника за разглашение сведений, относящихся к персональным данным других работников, возлагается на него в полном размере причиненного ущерба (п. 7 ст. 243 ТК РФ). Случаи полной материальной ответственности являются исключениями из общего правила, что подтверждает особое значение института защиты персональных данных работников в отечественном трудовом праве.

В виде увольнения наступает для работника, разгласившего охраняемую законом тайну (в том числе персональные данные другого работника). Однако необходимо, чтобы эти сведения стали известны работнику в связи с исполнением им своих трудовых обязанностей (поди, «в» п. 6 ст. 81 ТК РФ). В соответствии со ст. 192 ТК РФ привлечение работника, совершившего дисциплинарный проступок, является правом, а не обязанностью работодателя. При наложении дисциплинарного взыскания работодатель должен учесть тяжесть совершенного проступка и обстоятельства, при которых он был совершен. Поэтому вместо увольнения работодатель вправе наложить на виновное лицо взыскание в виде замечания или выговора. Права и обязанности работника в отношении доступа к персональным данным других работников определяются сто трудовой функцией, другими условиями трудового договора, а также содержанием локальных нормативных правовых актов, определяющих перечень его должностных обязанностей.

За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 0,3 тыс. до 0,5 тыс. руб.; на должностных лиц — от 0,5 тыс. до 1 тыс. руб.; на юридических лиц — от 5 тыс. до 10 тыс. руб. (ст. 13.11 Кодекса РФ об административных правонарушениях (далее — КоАП РФ)). Разглашение информации ограниченного доступа лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 0,5 тыс. до 1 тыс. руб.; на должностных лиц — от 4 тыс. до 5 тыс. руб. (ст. 13.14 КоАП РФ).

За нарушение неприкосновенности частной жизни предусмотрена ст. 137 Уголовного кодекса РФ (далее — УК РФ). Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 тыс. до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.