Защита персональных данных работника. 2

ТРУДОВОЕ ПРАВО

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

СОДЕРЖАНИЕ

ВВЕДЕНИЕ……………………………………………………………………….3

1.        Понятие персональных данных работника…………………………………4

2.        Особенности защиты персональных данных работника…………………..5

3.        Документы, устанавливающие порядок обработки персональных данных работника…………………………………………………………………………7

4.        Порядок обработки персональных данных…………………………………9

5.        Право работника на защиту персональных данных………………………10

6.        Ответственность за разглашение персональных данных работника…….12

ЗАКЛЮЧЕНИЕ…………………………………………………………………..16

СПИСОК ЛИТЕРАТУРЫ………………………………………………………..17

ВВЕДЕНИЕ

В современных социально-экономических условиях в связи с формированием в стране рыночной экономики и обострением социальных проблем роль защиты персональных данных работника значительно возрастает.

Ст.2 Конституции Российской Федерации закрепляет основной принцип современного демократического общества: «Человек, его права и свободы являются высшей ценностью». Соответственно и информация, непосредственно затрагивающая частные интересы человека должны уважаться и защищаться государством. В повседневной жизни человека сохранность информации о его жизни зависит от него самого. Но совсем другая ситуация, когда мы обязаны предоставить данные о себе в соответствии с законом третьему лицу, а конкретно – работодателю. Работник в данной ситуации передает конфиденциальную информацию о себе на ответственное хранение. Далее за сохранность данных отвечает уже работодатель. Он обязан оберегать сведения о работнике от посягательств третьих лиц и нести ответственность за распространение указанных данных.

В Трудовом кодексе РФ это обстоятельство нашло четкое закрепление. В специальной главе кодифицированного закона о труде работодателю разрешено получать, хранить, комбинировать, использовать персональные данные нанятого им работника. Законодатель установил общие требования к обработке персональных данных работника и определил гарантии их защиты. В литературе по трудовому праву вопросы охраны персональных данных работника уже подвергались научному анализу, однако в настоящее время все еще остается потребность в системном изучении этого института отечественного трудового права, что и предопределило выбор темы дипломной работы и обусловило ее актуальность.

1.      Понятие персональных данных работника

Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). В контексте трудовых отношений персональные данные - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст.85 ТК РФ).

В соответствии со ст.3 Федерального закона №152-Ф3 (2007г.) "О защите персональных данных", к персональным данным относятся:

- фамилия, имя, отчество;

- год, месяц, дата и место рождения;

- адрес;

- семейное, социальное, имущественное положение;

- образование;

- профессия;

- доходы;

- другая информация.

Работодатель обязан осуществить сбор, хранение и обработку персональных данных в строгом соответствии с требованиями законодательства. Для регламентации всех вопросов, связанных с охраной персональных данных работников, в организации должен быть разработан и принят соответствующий документ.

2.      Особенности защиты персональных данных работника

В современном мире к защите конфиденциальных сведений предъявляют все большие требования. Поскольку персональные данные работников содержат данные личного характера, к обеспечению гарантий по их сохранности и неразглашению относятся очень серьезно. В связи с этим нормативные акты, регулирующие обеспечение сохранности персональных данных вообще и работников в частности предусмотрены не только национальным законодательством, но и международными актами.

Статья 12 Всеобщей декларации прав человека 1948 года гласит «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». Право на уважение к личной и семейной жизни содержится так же и в Конвенции о защите прав человека и основных свобод. Эти международные правовые акты заложили основу создания национальных правовых систем. Необходимо отметить, что принимались они спустя несколько лет после разрушительной Мировой войны, в то время, когда права человека были чем-то очень далеким от реальности. И, тем не менее, право неприкосновенности частной жизни (в том числе конфиденциальных сведений) было вписано в Декларацию как одно из основных.

В дальнейшем, когда в мировом сообществе происходила серьезная борьба за закрепление политических прав человека, право неприкосновенности личной жизни было подтверждено Международным пактом о гражданских и политических правах [3].

Что касается Российской Федерации, то на сегодняшний день сохранность конфиденциальных сведений на ее территории обеспечивается следующими нормативными актами.

Во-первых, это Конституция Российской Федерации. В ее положениях признается не только само право на неприкосновенность личной жизни, личную и семейную тайну (ч.1 ст.23), но и обеспечивающие это право дополнительные гарантии. В соответствии со ст. 2 Конституции «человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина - обязанность государства». Таким образом, Российская Федерация не только устанавливает право, но и обязуется защищать его; ставит интересы человека и гражданина на ступень выше, чем интересы государства, общества, либо общественных или коммерческих организаций. Согласно ч.1 ст. 15 Конституция РФ является документом прямого действия, т.е. ее нормы не требуют дополнительного признания и исполняются «как есть». Ч.4 ст. 15 признает Международные договоры (в т.ч. указанные Конвенции) источником права и отводит им главенствующую роль. Ч.1 ст. 24 запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. И, наконец, согласно ст. 46 каждому гарантируется судебная защита его прав, в том числе в межгосударственных органах.

Кроме того, данную сферу регулирует Федеральный Закон "Об информации, информационных технологиях и о защите информации" и Федеральный Закон «О персональных данных». В частности ч.1 ст. 11 Закона определяет, что персональные данные являются конфиденциальной информацией, а ч.3 этой же статьи предупреждает о наступлении ответственности юридических и физических лиц за нарушение режима защиты, обработки и порядка использования этой информации.

Персональные данные отнесены к категории конфиденциальных сведений (в соответствии с ФЗ «Об информации…») и соответствующим Перечнем, который дает им следующее определение: «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность» [5].

Сфера отношений, касающаяся персональных данных работника регулируется гл.14 Трудового кодекса Российской Федерации. Где установлено понятие персональных данных работника, установлен порядок работы с ними и закрепляется ответственность работодателя за нарушение соответствующих норм.

3.                  Документы, устанавливающие порядок обработки персональных данных работника

Документы, устанавливающие порядок обработки персональных данных работника - новшество ТК РФ. Если ранее за отсутствие таких локальных нормативных актов не наказывали, то статьей 90 ТК РФ установлено, что виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность.

Поскольку ТК РФ говорит о документах, устанавливающих порядок обработки персональных данных во множественном числе, то таких документов должно быть как минимум два:

- Положение о защите персональных данных работников (утверждается и вводится в действие приказом руководителя организации)

 - Обязательство о неразглашении персональных данных работников (подписывается теми, кто имеет доступ к таким данным (сотрудниками отдела кадров, бухгалтерии, службы охраны и др.) [6].

Проверив наличие документов по защите персональных данных работников, государственный инспектор по труду поинтересуется, как в организации собираются данные о работниках (насколько законно). По общему правилу всю информацию о работнике можно узнать только у него самого. Если приходится обращаться в другие организации, даже для того, чтобы просто поинтересоваться, работал ли там человек, не говоря уже о получении о нем каких-то оценочных данных, необходимо получить письменное согласие работника [5].

В связи с этим кадровики идут на хитрость. При поступлении на работу работник заполняет анкету, содержащую пункт следующего содержания: "не возражаю против получения данных обо мне в...", а затем сам вписывает те организации, в которые работодатель может обратиться за получением сведений о нем. Иногда в анкете указывается отдельной строчкой: "Не возражаю против проверки представленных данных".

Ни в коем случае нельзя давать подобную информацию по телефону. Обязательно попросите заявление о передаче данных о работнике от самого работника или запрос от работодателя с приложением письменного согласия работника. Если персональные данные о работнике требуют сотрудники милиции или других контролирующих организаций попросите письменный запрос, а если они пришли к вам лично - служебное удостоверение и приказ, где указаны цели сбора подобной информации [8].

ТК РФ требует знакомить работников под расписку с документами организации, устанавливающими порядок обработки персональных данных работников. Кто разрабатывает эти документы и как они должны называться?
С вступлением в силу ТК. РФ перед работниками кадровых служб была поставлена задача защиты персональных данных работников от неправомерного их использования или утраты (гл. 14 ТК РФ).

Порядок хранения и использования персональных данных работников в организации устанавливается работодателем (ст. 87 ТК РФ).

Передача персональных данных работников в пределах одной организации должна осуществляться в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку (ст. 88 ТК РФ).

Локальный нормативный акт, связанный с проблемой сбора, обработки, передачи, хранения и защиты от несанкционированного доступа персональных данных работника, разрабатывается кадровой службой организации в виде положения, инструкции, правил или в какой-либо другой форме.

Круг лиц, участвующих в согласовании, устанавливается по усмотрению организации.

Как и все документы этой группы, положение (инструкция, правила) должно быть подписано разработчиком (руководителем кадровой службы) и утверждено работодателем. Работодатель может утвердить документ лично, расписавшись в грифе утверждения, или издать приказ, об утверждении данного документа и вводе его в действие [6].

Наряду с названным локальным нормативным актом следует разработать форму обязательства о неразглашении персональных данных работника, т. к. лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности), о чем прямо сказано в ст. 88 ТК РФ.

4.                  Порядок обработки персональных данных

Обязательные (в том числе предварительные) этапы работ по защите персональных данных [9]:

          Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).

          Выделить бизнес-процессы, в которых обрабатываются персональные данные.

          Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.

          Определить круг информационных систем и совокупность обрабатываемых ПДн.

          Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).

          Выработать меры по снижению категорий обрабатываемых ПДн.

          Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).

          Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.

          Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.

          Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.

          Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.

          Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.

          Подготовить технический проект по защите ИСПДн и помещений.

          Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции).

          Спроектировать и внедрить систему защиты персональных данных (СЗПДн).

5.                  Права работников на защиту персональных данных

Наряду с закрепленными за работодателем обязанностями по обеспечению защиты персональных данных работника ст. 88 ТК РФ регламентирует права работников в этой области.

Условно права работника, направленные на обеспечение за­щиты его персональных данных, можно разделить на 3 группы [4]:

1) на полную информацию о своих персональных данных и их обработке;

2) требовать устранения недостатков, имеющихся в персо­нальных данных работника;

3) на защиту от неправомерных действий (бездействия) рабо­тодателя всеми установленными законом способами.

Право на полную информацию о своих персональных данных и их обработке установлено также в Федеральном законе от 20 февраля 1995 г. «Об информации, информатизации и защите информации». Так, в соответствии с п. 1 ст. 14 указанного Зако­на работники имеют право на доступ к документированной ин­формации о них, имеют право знать, кто, в каких целях исполь­зует или использовал эту информацию. В силу п. 2 ст. 14 Закона работодатель, как владелец документированной информации о ра­ботнике, обязан предоставить по его требованию бесплатно ин­формацию в той части, которая касается непосредственно самого работника.

Право отдельной категории работников на полную информа­цию, составляющую их персональные данные, устанавливается также федеральными законами, указами Президента РФ, поста­новлениями Правительства РФ. Так, в соответствии с п. 9 Указа Президента РФ от 15 мая 1997 г. «О предоставлении лицами, за­мещающими государственные должности Российской Федерации, и лицами, замещающими государственные должности государст­венной службы и должности в органах местного самоуправления, сведений о доходах и имуществе» право знакомиться со всеми материалами своего личного дела и давать в письменном виде объяснение по указанным материалам, которое должно быть при­общено к личному делу, принадлежит лицам, замещающим госу­дарственные должности РФ [10].

Работник вправе приглашать по своему выбору медицинского специалиста при осуществлении своего права на полную инфор­мацию о своих персональных данных медицинского характера (ст. 89 ТК РФ). Законом не установлены формы привлечения ме­дицинских специалистов к участию в ознакомлении с медицин­скими данными, касающимися непосредственно самого работни­ка. Поэтому представляется, что участие специалиста может осу­ществляться на основе простой формы доверенности, выдаваемой ему работником. Кроме того, предусмотренное ст. 89 ТК РФ право работника на получение копий любой записи, в которой со­держатся его персональные данные, позволяет ему обратиться за помощью к медицинским специалистам путем представления им копии медицинских данных, выданных работодателем.

6.                  Ответственность за разглашение персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут юри­дическую ответственность (ст. 90 ТК РФ). Юридическая ответст­венность указанных лиц предусмотрена за виновное поведение, которое проявляется в их действиях или бездействии.

Так, в соответствии с п. 3 ст. 24 Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» ответственность за незаконное ограничение доступа к информации и нарушение режима защиты информации несут руководители и другие служащие органов государственной власти, организаций при наличии их вины в соответствии с уго­ловным, гражданским законодательством и законодательством об административных правонарушениях.

Дисциплинарная ответственность устанавливается в связи с со­вершением работником (в том числе руководителями, служащими, должностными лицами) дисциплинарного проступка, по правилам, установленным ТК РФ (а для отдельных категорий работников фе­деральными законами, уставами и положениями о дисциплине) [6].

В соответствии со ст. 14 Федерального закона от 31 июля 1995 г. «Об основах государственной службы в Российской Фе­дерации»1 на государственного служащего возложена обязан­ность соблюдать установленный порядок работы со служебной информацией, хранить государственную и иную охраняемую за­коном тайну, а также не разглашать ставшие ему известными в связи с исполнением должностных обязанностей сведения, за­трагивающие частную жизнь, честь и достоинство граждан. За неисполнение (ненадлежащее исполнение) государственным служа­щим возложенных на него обязанностей к нему могут применяться дисциплинарные взыскания, несколько отличные от видов дисцип­линарных взысканий, установленных ст. 192 ТК РФ.

К ним, в ча­стности, относятся: замечание, выговор, строгий выговор, преду­преждение о неполном служебном соответствии, увольнение. Помимо этого, за разглашение конфиденциальных сведений, со­держащихся в личных делах лиц, замещающих государственные должности РФ в порядке назначения и государственные долж­ности федеральной государственной службы, а также за иные нарушения порядка ведения личных дел, установленного п. 7 Указом Президента РФ от 1 июня 1998 г. «О порядке ведения личных дел лиц, замещающих государственные должности Российской Федерации в порядке назначения и государственные должности федеральной государственной службы», виновные в этом федеральные государственные служащие, уполномоченные на ведение и хранение личных дел (формирование их копий) ука­занных выше лиц, могут привлекаться к дисциплинарной или иной ответственности [7].

Наряду с дисциплинарной ответственностью работники, ви­новные в разглашении сведений, составляющих служебную, ком­мерческую или иную тайну, могут привлекаться к материальной ответственности. Одним из оснований наступления полной мате­риальной ответственности работника, предусмотренных федераль­ными законами, является разглашение им сведений, составляю­щих охраняемую законом служебную, коммерческую или иную тайну (ст. 90 ТК РФ).

Гражданско-правовая ответственность в соответствии с требова­нием п. 2 ст. 139 ГК РФ2 установлена за причинение убытков в результате получения незаконными методами информации, со­ставляющей служебную и коммерческую тайну. Виновные в этом лица обязаны возместить причиненные убытки по правилам, опре­деляемым гражданским законодательством. Аналогичная ответствен­ность предусмотрена в отношении работников, виновных в разгла­шении служебной или коммерческой тайны, если трудовым догово­ром предусмотрена соответствующая обязанность о неразглашении определенных сведений, вопреки трудовому договору.

Административная ответственность за нарушение норм, регу­лирующих порядок получения, обработки и защиты персональных данных работника, установлена Кодексом Российской Федерации об административных правонарушениях, принятым Государствен­ной Думой 20 декабря 2001 г., одобренным Советом Федерации 26 декабря 2001 г.

В силу ст. 13.11 КоАП РФ за нарушение установленного зако­ном порядка сбора, хранения и использования или распростране­ния информации о гражданах (персональных данных) предусмот­рена административная ответственность в виде предупреждения или наложения административного штрафа в размере от трех до пяти минимальных размеров оплаты труда в отношении граждан:

— в отношении совершения аналогичных виновных действий должностными лицами размер административного штрафа состав­ляет от пяти до десяти минимальных размеров оплаты труда;

— юридические лица несут административную ответствен­ность в размере от пятидесяти до ста минимальных размеров оп­латы труда.

В соответствии со ст. 13.14 КоАП РФ разглашение информа­ции, доступ к которой ограничен федеральным законом (за ис­ключением случаев, когда разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессио­нальных обязанностей, влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц — от сорока до пя­тидесяти минимальных размеров оплаты труда. Такая ответственность наступает за разглашение информации, доступ к которой ограничен только федеральным законом. Поэтому за разглашение информации, доступ к которой ограничен иными нормативными правовыми актами, например локальными нормативными актами, административная ответственность, установленная требованием ст. 13.14 КоАП РФ, не может быть применена.

Административная ответственность в виде предупреждения и наложения административного штрафа предусмотрена ст. 13.20 КоАП РФ в отношении граждан и должностных лиц за наруше­ние правил хранения, комплектования, учета и использования ар­хивных документов [8].

Уголовная ответственность предусмотрена ст. 137 УК РФ1.

Со­гласно ч. 1 указанной статьи, незаконное собирание или распро­странение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распростране­ние этих сведений в публичном выступлении, публично демонст­рирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной за­интересованности и причинили вред правам и законным интере­сам граждан, наказываются штрафом в размере от двухсот до пя­тисот минимальных размеров оплаты труда или в размере зара­ботной платы или иного дохода осужденного за период от двух до пяти месяцев, либо обязательными работами на срок от ста двад­цати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех меся­цев.

ЗАКЛЮЧЕНИЕ

В Трудовом кодексе под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Конституция РФ закрепила свободу поиска, получения, передачи, производства и распространения информации (ч. 4 ст. 29), гарантировала право на неприкосновенность частной жизни, личную, семейную тайну, тайну сообщений и запретила распространение информации о частной жизни лица без его согласия (ст.ст. 23, 24). Жизнедеятельность человека предполагает предоставление информации о себе другим членам общества. Отношения по предоставлению и охране информации регулируются нормами российского права.

В российской традиции, защита персональных данных сводится к созданию режима обработки персональных данных, включающего:

     Создание внутренней документации по работе с персональными данными

     Создание организационной системы защиты персональных данных

     Внедрение технических мер защиты

     Получение лицензий регулирующих органов (ФСБ, ФСТЭК). Лицензия ФСТЭК России на Техническую защиту конфиденциальной информации нужна только в случае если организация оказывает услуги по созданию системы защиты персональных данных для других лиц. При создании системы защиты персональных данных силами организации (для собственных нужд) как техническими средствами, так и организационными — данная лицензия не нужна

                    Получение сертификатов регулирующих органов (ФСБ, ФСТЭК) на средства защиты информации

СПИСОК ЛИТЕРАТУРЫ

1.        Конституция РФ от 12.12.1993 (в ред. ФЗ от 25.03.2005 № 1-ФКЗ) // ИПС КонсультантПлюс.

2.        Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (в ред. ФЗ от 30.06.2006 № 90-ФЗ) // ИПС КонсультантПлюс.

3.        Гусов К.Н., Толкунова В.Н. Трудовое право России: Учебник.-М.: “Проспект”, 2004. – 496 с.

4.        Молодцов М.В. Головина С.Ю. Трудовое право России: Учебник для вузов. – М.: Норма, 2004. – 640 с.

5.        Нуртдинова А.Ф.. Орловский Ю.П. Трудовое право России: Учебник. Краткий курс. – М.: ИНФРА-М, КОНТРАКТ, 2003. – 402 c.

6.        Скобелкин В.Н., Передерин С.В., Чуча С.Ю., Семенюта Н.Н. Трудовое процедурно-процессуальное право: Учебное пособие. – Из-во Воронежского гос. университета, 2002. –504 с.

7.        Толкунова В.Н. Трудовое право. Курс лекций. М.: “Проспект”, 2003.

8.        Трудовое право: Учебник. /Под ред. О.В. Смирнова. –М.: “Проспект”, 2005. – 560 с.

9.        Трудовое право России: Учебник. /Под ред. С.П. Маврина, Е.Б. Хохлова.- М.: Юристъ, 2003.-650 с.

10.   Трудовое право: Учебное пособие для ВУЗов (С. В. Колобова) // ЗАО Юстицинформ, 2005 // ИПС КонсультантПлюс.

2