Бюллетень РК профсоюза № 15

БЮЛЛЕТЕНЬ № 15

                                                                                     ( октябрь 2013)

Территориальная (местная) профсоюзная организация Вахитовского и Приволжского районов г. Казани

 работников образования и науки

ВЫ СПРАШИВАЛИ - МЫ ОТВЕЧАЕМ

ПРАВО РАБОТНИКОВ НА ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

   Российское законодательство стоит на страже неприкосновенности частной жизни, личной и семейной тайны, а также следит за обеспечением защиты прав и свобод человека и гражданина  при обработке его персональных данных. Для этого законодатели приняли ряд нормативных актов, обязывающих обеспечить безопасность персональных данных, с которыми взаимодействуют различные органы власти, юридические и физические лица. Наиболее важными из этого ряда нормативных актов являются:

·         Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее  Закон о персональных данных);

·         Постановление Правительства РФ от 15.09.2008 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее Постановление №781);

·         Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении  Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее Постановление №687)

Какие сведения относятся к персональным данным

    Пункт 1 ст. 3 Закона о персональных данных содержит довольно широкое определение, согласно которому персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его:

·         фамилия, имя, отчество;

·          год, месяц, дата и место рождения;

·          домашний адрес;

·         семейное, социальное, имущественное положение;

·         образование, профессия;

·         доходы;

·         другая информация, характеризующая человека может быть отнесена к его персональным данным

  В соответствии со ст. 85 Трудового Кодекса  Российской Федерации персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Четкого перечня персональных данных работника ТК РФ не содержит. Однако для трудовых отношений в общем перечне сведений, являющихся персональными данными, ТК РФ выделяет именно те, которые характеризуют человека в качестве работника. Как правило, эти данные необходимы для заключения трудового договора, заполнения личной карточки работника, формирования личного дела, предоставления работнику определенных льгот, выполнения работодателем иных функций, возложенных на него законодательством (уплата взносов на обязательное пенсионное страхование, налогов), и пр.

 Каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу: паспорте; военном билете (у военнообязанных); свидетельстве  присвоении ИНН; страховом пенсионном свидетельстве; документах об образовании (в том числе и дополнительного образования, если работник предоставляет их при приеме на работу или это требуется при выполнении определенных трудовых функциях); в водительском удостоверении и документах на машину, если это требуется в связи с выполнением трудовой функции работника; медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это требуется в связи с выполнением трудовой функции работника.

  В  соответствии со ст. 9 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" персональные данные представляют собой информацию ограниченного доступа. Кроме того, персональные данные указаны в Перечне сведений конфиденциального характера, утвержденном Указом Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера". Конфиденциальность персональных данных означает, что лицо, имеющее к ним доступ, не должно подвергать данные распространению без согласия субъекта персональных данных или иного законного основания.
  Следовательно, персональные данные требуют особого подхода, который выражается в установлении порядка работы с ними, режима охраны этих данных.

Требования к обработке персональных данных работника

   Согласно ст. 85 ТК РФ обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. Закон о персональных данных более подробно перечисляет действия, представляющие собой обработку таких данных, в том числе: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (включая передачу), обезличивание, блокирование, уничтожение персональных данных.

 Таким образом, обработка персональных данных работника включает все этапы - от сбора до передачи третьим лицам. Требования к обработке персональных данных работника устанавливает ст. 86 ТК РФ.

 В п. 1 ст. 86 ТК РФ предусмотрены цели подобной обработки, а именно она может осуществляться исключительно в следующих  целях:

·         обеспечения соблюдения законов и иных нормативных правовых актов;

·         содействия работникам в трудоустройстве, обучении и продвижении по службе;

·         обеспечения личной безопасности работников;

·         контроля количества и качества выполняемой работы;

·         обеспечения сохранности имущества.

 При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами (п. 2 ст.86 ТК РФ).

  Конкретного перечня сведений, относящихся к персональным данным работника, ТК РФ не устанавливает. Также отсутствует и список данных, которые работодатель должен собрать и обработать в отношении отдельно взятого работника. ТК РФ закрепляет лишь общие принципы. В частности, в силу требований трудового законодательства (ст. 65 ТК РФ) при приеме на работу работодатель получает персональные данные работника:

·       о трудовом стаже работника (содержится в трудовой книжке работника);

·       о регистрации в органах Пенсионного фонда РФ (подтверждается "пенсионным" свидетельством);

·       о состоянии работника на воинском учете - для военнообязанных и подлежащих воинскому учету содержится в документах воинского учета);

·       об образовании, квалификации (подтверждаются соответствующими документами);

·       о возрасте, месте жительства, семейных обязанностях (содержатся в паспорте, документе, удостоверяющем личность).

Помимо этого, работодатель получает и иные сведения, подлежащие занесению в личную карточку работника (форма личной карточки утверждена Постановлением Госкомстата России от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты").
Сбор сведений о родственниках работника не будет соответствовать указанным выше целям и принципам. Исключение составляет информация о детях и близких родственниках, за которыми работник осуществляет уход. Это необходимо для выполнения требований трудового законодательства и соблюдения прав работника в части установления ему особых условий труда.

 Помимо перечисленных персональных данных, работодатель получает информацию, необходимую для уплаты налогов (ст. 24 Налогового кодекса РФ), а также для осуществления обязательного пенсионного страхования работника (ст. 6 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования").
Работодатели нередко пренебрегают важным требованием к обработке персональных данных, в соответствии с которым они должны быть получены у самого работника (п. 3 ст. 86 ТК РФ).

 Работодатель обязан получить согласие работника на обработку персональных данных. Однако   письменное согласие работника требуется не каждый раз. Ведь, например, фамилия и имя сотрудника используются довольно часто. В данном случае следует иметь в виду, что согласно пп. 2 п. 2 ст. 6 Закона о персональных данных согласие от сотрудника не требуется, если сбор или изменение сведений проводят для исполнения договора, одной из сторон которого является сам работник. Так, передать сведения для оформления пропуска можно, не спрашивая письменного согласия работника, поскольку пропуск нужен для исполнения работником своих обязанностей по трудовому договору. Аналогичным образом обстоит дело с указанием данных сотрудника в различных рабочих документах (доверенностях, приказах, расчетно-платежных ведомостях).

Не всегда сведения, интересующие работодателя, работник может представить лично. Допустим, часть сведений работодатель может получить исключительно у третьего лица (например, предыдущего работодателя). Какова процедура их получения? Прежде всего, необходимо согласие работника в письменном виде. Кроме того, в документе, где выражено согласие работника, следует указать цели, источники и способы получения персональных данных, перечень запрашиваемых сведений, лиц, у которых они будут запрашиваться, а также последствия отказа работника дать письменное согласие на их получение (в случае подобного отказа составляется акт).

Следует иметь в виду, что указанный порядок должен работать и в случаях, когда те или иные сведения, представленные работником, вызывают у работодателя сомнение. То есть не допускается тайком, за спиной работника, проверка информации, относящейся к его персональным данным.
   В соответствии с п. 4 ст. 86 ТК РФ работодатель не имеет права получать и обрабатывать персональные данные работника о его религиозных и иных убеждениях и частной жизни. Однако, если для осуществления трудовых отношений необходимы такие данные, они собираются с письменного согласия работника. Примером информации о частной жизни являются сведения о наличии детей.
  Работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или о его профсоюзной деятельности (п. 5 ст. 86 ТК РФ).

При принятии решений, затрагивающих интересы работника, работодатель не вправе основывать свое решение на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения (п. 6 ст. 86 ТК РФ). То есть данные, полученные в электронном виде и не подтвержденные иными материальными носителями, не могут лежать в основе решения работодателя, затрагивающего интересы работника. Это связано с тем, что персональные данные в электронном виде могут быть подвергнуты неправомерной корректировке в результате чьих-то случайных или неправомерных действий либо в результате сбоя программы. В данном случае следует сверить информацию с данными, содержащимися на бумаге, или получить подтверждение от самого работника.

ТК РФ возлагает на работодателя обязанность по защите персональных данных работников от неправомерного их использования или утраты. Защита должна осуществляться за счет средств работодателя (п. 7 ст. 86 ТК РФ). В данном случае имеются в виду мероприятия, направленные на защиту информации ограниченного доступа. К примеру, строгая регламентация порядка обращения с подобной информацией, установление круга лиц, имеющих к ней доступ.

Обязанностью работодателя также является разработка документов, устанавливающих порядок обработки персональных данных. Что касается работников, они должны быть ознакомлены под роспись с указанными документами, а также с их правами и обязанностями в данной области (п. 8 ст. 86 ТК РФ). Примерами подобных документов могут быть положение, инструкция. Отказ работников от своих прав на защиту и сохранение тайны не допускается (п.9 ст .86 ТК РФ).

Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников (п. 10 ст. 86 ТК РФ). К примеру, разрабатывать локальные нормативные акты, устанавливающие порядок доступа и работы с персональными данными работников, режим их защиты.

Хранение и использование персональных данных работников

Статья 87 ТК РФ устанавливает, что порядок хранения и использования персональных данных определяется работодателем самостоятельно. Хранение персональных данных осуществляется в документированном виде. Основные документы, в которых содержатся персональные данные, объединяются в личное дело, порядок ведения и хранения которого устанавливается работодателем. Отметим также иные документы, регламентирующие сроки хранения носителей, содержащих персональные данные работников.

Так, персональные данные о трудовой деятельности и трудовом стаже содержатся в трудовой книжке. Порядок хранения трудовых книжек установлен Правилами ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16.04.2003 N225).

Формы первичной учетной документации по учету труда и его оплаты утверждены Постановлением Госкомстата России от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты". В соответствии с данным Постановлением работодатель осуществляет хранение этих документов, содержащих, в том числе и персональные данные работников.
   Поскольку персональные данные относятся к закрытой информации, работодатель должен создать технические условия, направленные на охрану персональных данных работников (особый режим доступа, защита персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения).

Обратите внимание на то, что обязанность защиты персональных данных снимается с работодателя в отношении обезличенных и общеизвестных персональных данных. Так, обезличенными являются персональные данные, которые невозможно отнести к тому или иному лицу. Говоря другими словами, неизвестно, кому именно они принадлежат. К общедоступным персональным данным относятся данные, доступ к которым с согласия гражданина может быть предоставлен широкому кругу лиц (например, информация, находящаяся в справочнике, адресной книге).

Передача персональных данных работников

Нередко перед работодателем встает вопрос о передаче персональных данных того или иного работника. Статья 88 ТК РФ устанавливает ряд правил, которыми необходимо руководствоваться при передаче персональных данных.

Прежде всего, передача персональных данных третьей стороне возможна лишь с письменного согласия работника. Исключение составляют случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (а также в иных случаях, предусмотренных ТК РФ и иными федеральными законами).

Примерами указанных исключений является информирование ряда госорганов о несчастном случае на производстве (ст. 228 ТК РФ), передача персональных данных в соответствии с действующим законодательством в:

·       Пенсионный фонд РФ;

·        Федеральную инспекцию труда;

·       Налоговые органы;

·        Фонд социального страхования РФ;

·       органы государственного контроля и надзора за соблюдением законов о труде.
    Персональные данные - информация не для свободного доступа. В связи с этим лица, которым переданы персональные данные, должны использовать полученную информацию исключительно в целях, для которых она была сообщена, и соблюдать режим секретности (конфиденциальности) информации.

   Передача персональных данных в рамках одного работодателя должна происходить в соответствии с локальным нормативным актом, с которым работник подлежит ознакомлению под роспись.
При передаче персональных данных доступ к ним должен разрешаться исключительно уполномоченным лицам. В данном случае в локальном нормативном акте о персональных данных, который обязан разработать каждый работодатель, можно предусмотреть, кто именно из специалистов, в каком объеме и к какой информации имеет доступ.

  Работодателю при передаче персональных данных работника запрещается запрашивать информацию о состоянии здоровья работника. Исключение составляют те сведения, которыми работодателю необходимо располагать при решении вопроса о возможности или невозможности выполнения работником трудовой функции. Кроме того, в ряде случаев необходимость получения информации о здоровье работника вызвана спецификой работы (в отношении работников,  работающих в образовательных организациях и т.п.).

Права, предоставленные работникам

 Закон о персональных данных устанавливает перечень прав субъектов персональных данных, к которым в том числе относятся и работники. В контексте трудовых отношений права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя, конкретизирует ст. 89 ТК РФ. Итак, работники наделены следующими правами:

1. Получать полную информацию об их персональных данных, хранящихся у работодателя, и об обработке этих данных. В целях реализации заявленного права работника работодатель обязан ознакомить его с документами (положением, инструкцией, приказом), регламентирующими порядок работы с персональными данными. Иметь свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные. Однако указанное право работника совсем не означает, что он в любой удобный для него момент может прийти и полистать свое личное дело. Согласно ст. 14 Закона о персональных данных работник как субъект персональных данных может получить доступ к своим персональным данным на основании запроса. Отказ в предоставлении информации должен быть мотивирован и выдается работнику в письменном виде в срок, не превышающий 7 рабочих дней со дня обращения или даты получения запроса (ст. 20 Закона о персональных данных). Подробный порядок может быть прописан в локальном нормативном акте. Напомним, что в соответствии со ст. 62 ТК РФ копии документов, связанных с работой, выдаются работнику не позднее трех рабочих дней со дня подачи письменного заявления.

2. Определять своих представителей для защиты своих персональных данных (представителем работника может быть не только профсоюз, но и физическое или юридическое лицо).

3. Иметь доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору.

4. Требовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства (например, данные были получены без согласия работника, и через некоторое время работник, случайно, узнал о том, что в них содержится ошибка). Требование следует оформлять в письменном виде. Если же работодатель откажет в выполнении данного требования, то работник вправе также в письменной форме заявить о своем несогласии с его обоснованием. С отказом в исправлении или исключении персональных данных работника необходимо ознакомить под роспись. Возможные дальнейшие варианты разрешения данного разногласия - продолжение переговоров или обращение работника в суд.

При выявлении недостоверных персональных данных работодатель должен их заблокировать (т.е. приостановить всякие действия по обработке данных). Затем необходимо подтвердить факт недостоверности и уточнить персональные данные (ст. 21 Закона о персональных данных).

   Персональные данные оценочного характера (например, характеристику, в которой отмечены его профессиональные навыки) работник вправе дополнить заявлением, выражающим его собственную точку зрения.

5. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в данных исключениях исправлениях и дополнениях. Оперируя недостоверной информацией, третьи лица могут нанести существенный вред работнику. Например, неточные сведения, переданные в Пенсионный фонд РФ, могут привести к уменьшению размера пенсии.

6. Обратиться в суд для обжалования любых неправомерных действий или бездействий работодателя при обработке и защите персональных данных.

Ответственность за нарушение правил работы с персональными данными

Статья 90 ТК РФ предусматривает, что лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работников, могут быть привлечены к следующим видам ответственности:

·  дисциплинарной - материальной;

·   гражданско-правовой;

·  административной;

·        уголовной.

Дисциплинарная ответственность

    Сотрудник, на которого возложена ответственность за сохранность персональных данных, при нарушении правил работы с ними может быть подвергнут дисциплинарному взысканию (замечание, выговор, увольнение). Однако разглашение персональных данных может повлечь более серьезное наказание. Так, согласно пп. "в" п. 6 ст. 81 ТК РФ по инициативе работодателя может быть расторгнут трудовой договор с сотрудниками, разгласившими охраняемую законом тайну (к которой в том числе относятся персональные данные). Уволить по данному основанию можно именно за разглашение данных, за нарушение иных правил работы с персональными данными работодатель вправе наложить иное дисциплинарное взыскание.

 Материальная ответственность

   К материальной ответственности могут быть привлечены сотрудники, нарушившие правила работы с персональными данными и причинившие ущерб субъекту персональных данных (работнику), в результате чего работодатель был обязан произвести работнику выплаты в возмещение морального вреда.

Гражданско – правовая ответственность

   Привлечение к указанному виду ответственности возможно в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина (ст.ст.150,151,152ГКРФ).

 Административная ответственность

    В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 3 до 5 МРОТ, на должностных лиц - от 5 до 10 МРОТ, на юридических лиц - от 40 до 50 МРОТ. За нарушение правил защиты информации административная ответственность предусмотрена ст. 13.12 КоАП РФ.
  Помимо этого,  ст. 13.14  КоАП РФ предусматривает, что разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет  наложение административного штрафа на граждан в размере от 5 до 10 МРОТ, на должностных лиц- от 40 до 50 МРОТ.

Уголовная ответственность

   Привлечение к уголовной ответственности возможно на основании ст. 137 УК РФ - за злоупотребления и незаконные действия с информационными данными о частной жизни.

 Итак, в организации для работы с персональными данными должны быть следующие документы:

1.Положение о персональных данных.

2.Приказ о назначении ответственных за работу с персональными данными.

3.Приказ о назначении ответственных за обеспечение безопасности персональных данных.

4.Заявления работников на обработку персональных данных.

5.Договоры (допсоглашения) с работниками об обработке персональных данных.