Персональные данные работника

Содержание

Что относится к персональным данным?

Персональные данные (далее ПД) – это всякая информация, которая непосредственно имеет отношение к определенному физлицу.

Физического лица

К ПД простых граждан относятся:

  • ФИО;
  • информация о месте и дате рождения;
  • местожительство;
  • данные, изложенные в паспорте;
  • СНИЛС;
  • льготы физлица.

Работника

К ПД работника относится та информация, которая важна для работодателя в связи с трудоустройством.

Стоит также отметить, что на законодательном уровне до сих пор не урегулировали момент, который касается управления личных дел сотрудников, поэтому чаще всего на практике работодателем в них включаются полные сведения.

А именно:

  • данные, указанных в паспорте;
  • СНИЛС;
  • воинский учет;
  • имеющееся образование;
  • заполненная анкета, которая выдается сотруднику при трудоустройстве;
  • договоре о трудоустройстве.

Кроме того сведения о трудовом соглашении и прекращении трудовой деятельности:

  • данные приказов, в которых говорится об увеличении зарплаты, поощрениях, начале работы и увольнении, переводах;
  • объяснительные письма, заявления работника;
  • документы, свидетельствующие о повышении классификации, прохождении собеседования сотрудником.

Муниципального служащего

Согласно ФЗ от 02.03.2007 N 25-ФЗ (ред. от 03.04.2017) «О муниципальной службе в Российской Федерации» статья 29, к ПД муниципального служащего относятся:

  • некоторые данные, взятые из биографии;
  • сведения, изложенные в паспорте;
  • данные о специальности, квалификации;
  • информация о выслуге лет и стаже;
  • о составе семьи и семейном положении;
  • воинская обязанность;
  • зарплата и льготы;
  • наличие или отсутствие судимости;
  • местожительство и телефонный номер;
  • договор о трудоустройстве;
  • заявления, которые были предоставлены и подавались налоговой;
  • информация о здоровье.

Гражданского служащего

Согласно ст.24 ФЗ от 27.07.04г. N 79-ФЗ «О государственной гражданской службе РФ», поступающему на работу лицу необходимо предоставить в инспекцию следующие ПД:

  • заявление о начале рабочей деятельности или поступлении на гражданскую службу, сюда же относится заявление о замене отсутствующего сотрудника;
  • сведения о зарплате;
  • анкета, которая выдается сотруднику при трудоустройстве;
  • СНИЛС;
  • трудовую книжку;
  • копия свидетельства о постановке на учет физлица в налоговом органе по местожительстве в РФ;
  • адреса из Интернет-ресурсов, на которых госслужащий размещал информацию, имеющую общий доступ;
  • сведения об специальности, опыте работы, повышении квалификации;
  • при заключении соглашения, может потребоваться предоставление иных документов.

Передача ПД третьим лицам может осуществляться только с написанного разрешения их владельца, исключая те случаи, когда этого требует ФЗ.

Коммерческой тайной зарплата являться не может из-за того, что она относится к системе оплаты труда. Но это не исключает ее из списка ПД, за распространение которых работника могут уволить согласно Трудовому Кодексу.

И если сотрудник начнет оспаривать это решение в суде, то работодатель обязан доказать, что разглашенная информация относится к тайне, сведения которой сотрудник обязывался никому не сообщать.

Информационная система персональных данных и оператор – что это?

Информационная система персональных данных (ИС) – система, которая представляет из себя соединение ПД, расположенных в базе данных, и различных видов оборудования, благодаря которым реальностью становится обработка ПД с употреблением средств автоматизирования.

Очень важным понятием является «оператор». Согласно ФЗ-152, оператор – государственный или муниципальный орган, юридическое или физлицо, которое в одиночку или коллективно с другими лицами производит обработку ПД, он же определяет ее цель, необходимость и состав.

Все процедуры, проводимые для установления защиты ПД при их обработке в ИС, должны проводиться только теми людьми или компаниями, которые состоят в списке, заранее созданном оператором. И только у них может быть разрешение, допускающее их к данным.

Нужно также принять меры профилактики, которые помогут избежать запрещенный доступ к сведениям.

Для этих целей все просмотры и активность регистрируются и отражаются в электронном журнале, проверять который входит в обязанности оператора.

Постоянным наблюдением за тем, как обрабатываются ПД операторами, проверкой и контролем, порядком охраны документации, занимается Роскомнадзор.

Отказ в предоставлении третьим лицам

ФЗ-N152 «О персональных данных» начал действовать с 2006г., но полный отчет о своих ПД в обязательном порядке нужно было предоставлять с 2010г, когда был принят ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг».

И если теперь вы получаете звонки от банков и коллекторов, которые никак не оставят в покое не только вас, но и ваших родственников, а также коллег, то пора отозвать согласие на обработку ПД. Конечно, они уже были переданы этим организациям, но данный шаг поможет вам спугнуть вымогателей.

Имейте в виду, что заявление нужно отправить не только на фактический адрес отделения банка, в котором вы брали кредит, а также на юридический адрес.

Отправляйте заявление заказным письмом: так у вас будет уведомление о получении. Указывайте адрес, который был вами прописан при заключении кредитного договора.

Приложите к отказу свою копию паспорта и кредитного договора: это поможет быстро найти ваши документы организацией и внести в них соответствующие изменения.

Но не забывайте, что каждая ситуация требует индивидуальных мер. В некоторых из них необходимо сотрудничество с соответствующими органами, например, с полицией.

Согласно ст.24 ФЗ N 261-ФЗ, лица, которые виновны в причинении вреда морального характера владельцу ПД при нарушении закона обработки и хранении их, обязаны нести уголовную ответственность за разглашение и распространение, а именно возместить моральный ущерб, вдобавок к имущественным, а также убыткам, которые понес владелец ПД.

Образец заявление на отзыв персональных данных скачивайте .

Изменение персональных данных работника

Заявление работника о внесении изменений в документы

Служащему, чьи ПД подверглись видоизменениям, нужно в свободной форме составить заявление, в котором ему необходимо указать причину произошедших изменений, и сказать о коррективах, которые должны быть внесены в существующие документы.

Если вы меняете фамилию, то заявление нужно подать под старой фамилией, потому что в организации вы пока что числитесь под ней.

К своему заявлению необходимо приложить копии соответствующих документов, которые будут подтверждением произошедших изменений.

Приказ о внесении изменений в документы

Никакой необходимости составления работодателем приказа об изменении ПД сотрудника Трудовым законодательством не подкреплено. Но эта необходимость избирается для донесения информации всем заинтересованным лицам (кадровикам и бухгалтерам).

Дата заполненного приказа должна быть идентичной дате, когда служащий подал заявление со всеми предлагающимися копиями документов.
Приказ должен быть подписан сотрудником в знак того, что он с ним ознакомлен.

Уведомление об обработке персональных данных

Очень частой ошибкой операторов производить уведомление об обработке ПД, когда можно было этого не делать. И если вы всё-таки решили уведомить Роскомнадзор, то вот несколько рекомендаций:

  • Очень внимательно ознакомьтесь с ч.2 ст.22 ФЗ РФ от 27.07.06г. N 152-ФЗ «О персональных данных».
  • Посмотрите на данные, которые обрабатываются у вас. Некоторые случаи потребуют от вас корректировки с носителями ПД.

Одна из причин, по которой можно не уведомлять об обработке ПД, указана в п.2 ч.2 ст.22 ФЗ и выглядит следующим образом:

Возьмем в пример установление деловых отношений с физлицом для выполнения услуги. Чтобы дать понять, что всё готово и вам не пришлось просто так ехать несколько десятков километров, предусмотрительно мастер взял ваш номер телефона для оглашения радостной новости. И в этом случае в договоре обязательно должно быть прописано «Мастерская обязуется уведомить клиента по телефону **** о выполнении услуги».

Как защитить свои персональные данные узнаете из видео:

>Персональные данные работника

С какими персональными данными приходится иметь дело работодателю

Ответим на вопрос, что относится к персональным данным работника организации. Согласно ст. 3 Закона № 152-ФЗ, персональные данные работника это любые сведения о нем.

Трудовой кодекс определяет перечень документов, которые человек предъявляет работодателю при поступлении на работу:

  • фамилия, имя, отчество, дата и место рождения;
  • образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация);
  • выполняемая работа с начала трудовой деятельности (включая военную службу)
  • адрес регистрации и фактического проживания;
  • паспортные данные (серия, номер, кем и когда выдан);
  • номер телефона, адрес электронной почты
  • отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
  • ИНН;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • результаты обязательного медосмотра при поступлении на работу
  • семейное положение, ФИО и даты рождения детей

Также определенная информация содержится в резюме соискателя и его анкете.

В процессе работы эти данные могут изменяться и дополняться. Работодатель обязан хранить их в секрете. Данная мера обеспечивается определением конкретных лиц, которые могут иметь доступ к ним. Это должно быть зафиксировано в документальном виде, для чего необходимо издать внутренний приказ.

Образец приказа о персональных данных работников 2019

Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

Судебная практика

При проведении проверки соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании незаконным данного предписания Роскомнадзора.

Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ. (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013)

Обработка персональных данных

В организации необходимо разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки информации о работниках. Каждый сотрудник должен быть ознакомлен с этим документом под роспись.

Судебная практика

Прокурор обратился в суд с иском о понуждении организации к разработке и принятию локального правового акта, устанавливающего порядок хранения и использования персональных данных работников. Свои требования мотивировал тем, что в ходе проверки исполнения законодательства, регламентирующего сбор, хранение, использование или распространение персональных данных, было установлено, что в нарушение требований трудового законодательства порядок хранения и использования персональных данных работников в организации не разработан. Полагал, что отсутствие данного локальный нормативного акта может привести к неправомерному доступу к персональным данным не уполномоченных на то лиц.

Решением суда требование прокурора было удовлетворено. Суд обязал организацию разработать и принять локальный правовой акт, устанавливающий порядок хранения и использования персональных данных работников в течение 30 дней с момента вступления решения суда в законную силу.

Передача персональных данных работника другому лицу допускается только с согласия этого работника, за исключением случаев, установленных законом. Так, например, работодатель вправе передавать сведения о работнике по официальным запросам суда, прокуратуры, органов следствия и дознания.

ВАЖНО! Обратите внимание, что сообщать какую-либо информацию о сотруднике по телефону недопустимо. Судебная практика

Д. обратился в суд с иском о признании незаконным передачи работодателем его персональных данных другому лицу, взыскании морального вреда.

В судебном заседании было установлено, что организация, в которой работал Д., заключила договор с банком для реализации зарплатного проекта. Для выпуска пластиковых карт банку были переданы заполненные и подписанные работниками анкеты-заявления с их личными данными. Анкета-заявление Д. им подписана не была, согласие на передачу своих персональных данных он не давал.

Исковые требования судом были удовлетворены, несмотря на то, что полученной пластиковой карточкой Д. активно пользовался.

Когда за разглашение информации могут уволить

Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Об этом прямо указано в п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ. К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных. Однако если работник узнал данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации) и в его должностные обязанности не входит работа с личными сведениями, увольнение по данному основанию будет являться незаконным.

Увольнение по этому основанию является мерой дисциплинарного воздействия, поэтому при его осуществлении следует соблюдать порядок наложения дисциплинарного взыскания, предусмотренный ст.193 ТК РФ.

В случае оспаривания работником увольнения по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые трудящийся разгласил, относятся к личным данным другого сотрудника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей, и он обязывался не разглашать такие сведения (п.43 Постановления Пленума ВС РФ «О применении судами РФ Трудового кодекса РФ»).

Судебная практика

Н. обратился в суд с иском о признании увольнении незаконным, возмещении морального вреда.

В судебном заседании было установлено, что Н. работал электромонтером и был вызван в отдел кадров для устранения порыва телефонного кабеля. Во время починки кабеля он успел прочитать соглашение об увольнении работника М. с выплатой значительной денежной компенсации, которое кадровик оставила без присмотра на своем рабочем столе. На следующий день Н. обратился к директору, заявив, что он тоже хочет уволиться по соглашению сторон с такой же денежной компенсацией. А получив отказ, обиделся и стал рассказывать об этой ситуации другим работникам. В результате приказом директора Н. был уволен по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных другого работника.

Решением суда исковые требования Н. были удовлетворены. Суд пришел к выводу, что в трудовые обязанности Н. работа с личными данными других сотрудников не входила, и данные сведения стали ему известны в результате халатности кадровика, который не обеспечил сохранность информации.

Самая обыденная процедура приема на работу сопряжена с риском для работодателя.

И дело вовсе не в том, что работник относится к какой-либо «особой» категории, что нужно ознакомить его ДО начала работы с локальными нормативными актами компании, грамотно прописать условия трудового договора и т.д.

Опасность подстерегает нас уже на этапе: «Предъявите ваши документы для оформления приема!». Работник передает стопку документов, мы делаем копии и… И дальше все будет зависеть от грамотных действий кадрового работника.

Еще с 1 июля 2017 года законодательством была существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц: штрафы выросли на несколько порядков — до 75 тысяч рублей за каждое нарушение, привлечение к ответственности стало гораздо проще.

Тем не менее, как показывает практика, работодатели до сих пор «расслабленны» и угрозы не замечают.

А ведь уже сложилась судебная практика по делам о незаконном хранении работодателями копий документов работников, в том числе копий страниц паспорта, военного билета, свидетельств о рождении детей и т.д. Например, решения Арбитражного суда Ростовской области от 14.11.2013 г. №А53-12557/2013, от 30.07.2013 г. по делу № А53-10287/2013. Суды признали сбор данной информации избыточным!

Давайте разберемся, что конкретно нужно сделать работодателю для собственной безопасности:

  1. Назначить приказом ответственного за работу с персональными данными (пп.1 ч.1 ст.18.1, ч.1 ст.22.1 Закона № 152-ФЗ «О персональных данных», ч. 5 ст. 88 ТК РФ). Как правило, это кадровик, бухгалтер либо непосредственно руководитель компании.
  2. Утвердить перечень работников, которые обрабатывают персональные данные, и получить у них обязательство не разглашать такую информацию. Иначе вы не сможете привлечь их к ответственности за утечку персональных данных.
  3. Проверить, каждый ли работник при приеме на работу подписал Согласие на сбор, хранение и обработку его персональных данных, ознакомился с Положением о защите персональных данных (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).
  4. Исключить из состава кадровых документов те копии, которые уже достигли цели своей обработки либо срок хранения которых истек (п. 7 ст. 5 Закона № 152-ФЗ).

Обратите внимание, копии документов нельзя просто выкинуть! И даже сначала порвать, а потом выкинуть тоже нельзя, не говоря уже об их использовании в качестве черновиков. Для таких документов требуется издать приказ о создании специальной комиссии, которая будет проводить выборку документов для утилизации. И все это требуется подтвердить еще и Актом об уничтожении. Подводя итог, небольшой совет: оформляйте отношения с работниками в строгом соответствии с требованиями трудового законодательства и регулярно наводите порядок в кадровых документах. При любых сомнениях в правомерности своих действий обращайтесь к нормативным документам.

А лишние копии лучше все же не хранить. Если уж вам понадобится уточнить какую-либо информацию, попросите работника предъявить оригинал документа.

Уничтожение персональных данных — действия держателя персональных данных по приведению последних в состояние, не позволяющее восстановить их содержание.

Обезличивание персональных данных — изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.

База персональных данных — упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).

Режим конфиденциальности персональных данных — нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных.

Как видим, нормы комментируемой главы о защите персональных данных работника полностью соответствуют международным нормам и приняты в соответствии с обязательствами Российской Федерации.

4. Режим защиты информации устанавливается:

— в отношении сведений, отнесенных к государственной тайне — уполномоченными органами на основании Закона о государственной тайне;

— в отношении конфиденциальной документированной информации — собственником информационных ресурсов или уполномоченным лицом;

— в отношении персональных данных — Законом о персональных данных, ТК и иными нормативными правовыми актами.

5. В соответствии с указанным Законом о персональных данных персональные данные есть любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных):

— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

6. В комментируемой статье законодатель определяет общие требования при обработке персональных данных работника и гарантии их защиты со стороны работодателя и его представителей в целях обеспечения прав и свобод человека и гражданина.

В п. 1 этой статьи сформулированы цели, для осуществления которых возможна обработка персональных данных — обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получении образования, обучении и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества.

В иных целях обработка указанных данных не допускается.

7. Исходя из названных целей, предусматривается, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК и иными федеральными законами.

К иным федеральным законам, о которых упоминается в ст. 86, относится прежде всего Закон о персональных данных, который регулирует отношения, связанные с обработкой персональных данных. Далее следует назвать Закон о государственной гражданской службе, где названы документы, представляемые гражданином при поступлении на государственную службу (ст. 26), и порядок ведения личных дел государственных служащих (ст. 42).

В соответствии с указанным Законом издан Указ Президента РФ от 30.05.2005 N 609, которым утверждено Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела.

В этом Положении определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных государственного гражданского служащего Российской Федерации (далее — гражданский служащий), а также ведения его личного дела в соответствии со ст. 42 Закона о государственной гражданской службе.

Под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с вышеупомянутым Положением.

Представитель нанимателя в лице руководителя государственного органа либо его представителя, осуществляющих полномочия нанимателя от имени Российской Федерации или субъекта Российской Федерации (далее — представитель нанимателя), обеспечивает защиту персональных данных гражданских служащих, содержащихся в их личных делах, от неправомерного их использования или утраты.

Представитель нанимателя определяет лиц, как правило, из числа работников кадровой службы государственного органа, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных гражданских служащих в государственном органе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

При получении, обработке, хранении и передаче персональных данных гражданского служащего кадровая служба государственного органа обязана соблюдать следующие требования:

а) обработка персональных данных гражданского служащего осуществляется в целях обеспечения соблюдения Конституции РФ, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия гражданскому служащему в прохождении государственной гражданской службы Российской Федерации (далее — гражданская служба), в обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества государственного органа, учета результатов исполнения им должностных обязанностей;

б) персональные данные следует получать лично у гражданского служащего. В случае возникновения необходимости получения персональных данных гражданского служащего у третьей стороны следует известить об этом гражданского служащего заранее, получить его письменное согласие и сообщить гражданскому служащему о целях, предполагаемых источниках и способах получения персональных данных;

в) запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в т.ч. в профессиональных союзах;

г) при принятии решений, затрагивающих интересы гражданского служащего, запрещается основываться на персональных данных гражданского служащего, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

д) защита персональных данных гражданского служащего от неправомерного их использования или утраты обеспечивается за счет средств государственного органа в порядке, установленном федеральными законами;

е) передача персональных данных гражданского служащего третьей стороне не допускается без письменного согласия гражданского служащего, за исключением случаев, установленных федеральным законом.

В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:

а) получать полную информацию о своих персональных данных и об обработке этих данных (в т.ч. автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных федеральным законом;

в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением вышеназванного Закона. Гражданский служащий при отказе представителя нанимателя или уполномоченного им лица исключить или исправить персональные данные гражданского служащего имеет право заявить в письменной форме представителю нанимателя или уполномоченному им лицу о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера гражданский служащий имеет право дополнить заявлением, выражающим его собственную точку зрения;

г) требовать от представителя нанимателя или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные гражданского служащего, обо всех произведенных в них изменениях или исключениях из них;

д) обжаловать в суд любые неправомерные действия или бездействие представителя нанимателя или уполномоченного им лица при обработке и защите персональных данных гражданского служащего.

Гражданский служащий, виновный в нарушении норм, регулирующих получение, обработку, хранение и передачу персональных данных другого гражданского служащего, несет ответственность в соответствии с настоящим Федеральным законом и другими федеральными законами.

8. Комментируемая статья предусматривает общий порядок получения персональных данных непосредственно от самого работника. Запрещены, как правило, получение и обработка персональных данных работника о его убеждениях (политических, религиозных и иных), частной жизни, членстве в общественных объединениях или профсоюзной деятельностью. При обработке персональных данных работника работодатель обязан следовать требованиям, установленным ст. 86 ТК, в частности:

— получать и обрабатывать персональные данные работников в соответствии с требованиями законов и других нормативных правовых актов и только для целей, установленных комментируемой статьей;

— получать персональные данные исключительно у работника. В том случае, если персональные данные работника могут быть получены только у третьих лиц, то необходимо уведомить об этом работника и получить его письменное согласие.

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных законом, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные законом права субъекта персональных данных;

5) источник получения персональных данных.

Оператор освобождается от обязанности предоставить субъекту персональных данных вышеуказанные сведения в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

9. Важной обязанностью работодателя является обязанность обеспечить за счет собственных средств защиту персональных данных от неправомерного использования и утраты. С этой целью работодатель обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством и принятыми в соответствии с ним нормативными правовыми актами. Работодатель самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законодательством и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения работодателем возложенных на него обязанностей;

6) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в т.ч. с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

10. Работодатель с согласия работника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и проч.) другому лицу. Однако это не освобождает его от ответственности перед работником (ч. 3 ст. 6 Закона о персональных данных). Отметим, что ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона о персональных данных).

11. Согласие работника на обработку персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес работника; реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;

2) при получении согласия от представителя работника — его фамилию, имя, отчество, адрес; реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе; реквизиты доверенности или иного документа, подтверждающего полномочия представителя;

3) наименование или фамилию, имя, отчество и адрес работодателя;

4) цель обработки персональных данных;

5) перечень персональных данных, которые подлежат обработке;

6) фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;

7) перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;

8) срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;

9) подпись работника.

12. Согласие на обработку персональных данных в некоторых случаях должно быть получено не только у работника, но и у лица, ищущего работу. На практике нередки случаи, когда от имени лица, ищущего работу, действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в сети Интернет, сделав его доступным неограниченному кругу лиц, тогда согласие на обработку его персональных данных не требуется.

Согласие не требуется и в тех случаях, когда:

— обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий;

— это предусмотрено коллективным договором, соглашением, а также локальными актами работодателя, принятыми в установленном ст. 372 ТК порядке;

— обязанность по обработке предусмотрена законодательством, в т.ч. для опубликования и размещения персональных данных работников в сети Интернет;

— обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции;

— обработка персональных данных специальных категорий проводится органами прокуратуры при проведении надзорных мероприятий;

— обработка персональных данных близких родственников работника проводится в объеме, предусмотренном личной карточкой, а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др.;

— обработка персональных данных связана с выполнением работником своих трудовых обязанностей;

— обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений;

— персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами;

— обработка персональных данных осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета.

13. Обработка персональных данных может производиться без использования средств автоматизации. Порядок такой обработки персональных данных определяется Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 N 687.

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; имя (наименование) и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Обработка персональных данных, проводимая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются работодателем.

14. Законодательством предусмотрена возможность обработки персональных данных с использованием средств автоматизации. Закон о персональных данных определяет автоматизированную обработку персональных данных как обработку данных с помощью средств вычислительной техники. Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее.

Персональные данные работников обрабатывает уполномоченный на это представитель работодателя. Следовательно, он должен руководствоваться правилами, предусмотренными для обработки персональных данных без использования средств автоматизации.

В равной мере ст. 86 ТК запрещает работодателю при принятии решений, затрагивающих интересы работника, основываться на его персональных данных, полученных исключительно в результате их автоматизированной обработки или от электронных носителей информации.

>Глава 14. Защита персональных данных работника

Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

«Кадровик. Трудовое право для кадровика», 2008, N 4

Вопрос: Что входит в персональные данные работника? В частности, входит ли туда размер зарплаты? И второй вопрос по поводу персональных данных. Перед выборами Президента России в марте нам позвонили из вышестоящей организации и сказали, чтобы мы представили сведения о наших работниках (точнее, об их месте жительства). Насколько это законно? Имеет ли право кадровик представлять такие данные? Вышестоящее начальство мотивирует это тем, что такая информация им нужна для правильного отнесения того или иного человека к определенному избирательному участку.

Ответ: Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 Трудового кодекса РФ).

Статья 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» дает нам более развернутое толкование понятия «персональные данные»: персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Как видите, перечень информации о гражданине, составляющей персональные данные работника, не является исчерпывающим. Однако совершенно ясно, что сведения о регистрации по месту жительства относятся к их числу. Вместе с тем ТК тоже не содержит закрытого списка сведений, которые можно квалифицировать, как персональные данные. Поэтому посмотрим другие нормативные документы.

Указом Президента РФ от 6 марта 1997 г. N 188 персональные данные отнесены к категории сведений конфиденциального характера. Равным образом к конфиденциальной информации этим же Указом Президента РФ отнесена коммерческая тайна. Правда, Постановлением Правительства РСФСР от 5 декабря 1991 г. N 35 сведения о заработной плате и условиях труда не могут составлять коммерческую тайну предприятия и предпринимателя. Таким образом, сведения о размере зарплаты не могут являться секретными.

Отнесение информации к категории конфиденциальной требует разработки соответствующих локальных нормативных актов, где на основе законодательства РФ будут определены правила работы с этой информацией ограниченного доступа.

Данные о месте проживания граждан избирательная комиссия должна получить из официальных органов, ведающих регистрацией граждан по месту пребывания и по месту жительства, а не от работодателей. Поэтому в случае передачи данных о месте проживания работающих у вас граждан должны соблюдаться требования федеральных законов. В частности, в ст. ст. 86 — 88 ТК мы находим нужные нам правила:

— работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;

— работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

— необходимо предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Л.Французова

Консультант по трудовому праву

ООО «Кадровый Холдинг «Бета Пресс»

Подписано в печать

Add a Comment

Ваш e-mail не будет опубликован. Обязательные поля помечены *