Защита персональных данных работника

 Вопрос:

    Новый Трудовой кодекс вводит ограничение на предоставление информации, касающейся личных данных работника. Для предоставления таких сведений необходимо его разрешение.
    
    Значит ли это, что прежде, чем предоставить информацию о работнике по запросу службы безопасности предприятия, отдел кадров должен сначала получить разрешение работника?

    

 Ответ:

    Положения главы 14 Трудового кодекса (далее - ТК), определяющие порядок и гарантии защиты персональных данных работника, являются новеллой в трудовом законодательстве, однако они базируются на соответствующих нормах Конституции РФ, а также принципах и нормах международного права и международных договорах России.
    
    Персональные данные работника являются составной частью того, что называется частной жизнью человека. В англоязычных странах это обозначается словом "privacy", которое не имеет аналогов в русском языке. Оно может означать в одних случаях частную жизнь, в других - право на частную жизнь, в третьих - право на защиту неприкосновенности частной жизни и еще несколько смысловых оттенков.

    В соответствии со статьей 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Конституцией установлено, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.
    
    Отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, распространения и предоставления документированной информации, а также при защите информации и прав субъектов, участвующих в информационных процессах, регулируются Федеральным законом "Об информации, информатизации и защите информации" (Закон от 20.02.95 N 24-ФЗ).

    Указанным Законом определено понятие "информация о гражданах (персональные данные)" - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
    
    Глава 14 ТК определяет персональные данные работника как информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника. Уже в этом определении заложен "деловой" подход к сбору информации о сотруднике.
    
    Теперь информация о работнике должна обрабатываться (получаться, храниться, комбинироваться, передаваться, то есть использоваться) только в определенных целях, связанных с трудовыми взаимоотношениями и оговоренных законодательством.
    
    Это налагает дополнительные обязанности на сотрудников кадровых служб по строгому соблюдению законности действий руководства компаний по отношению к работникам.
    

    Трудовым кодексом установлено, что персональные данные работника следует получать у него лично. Статьей 65 ТК установлен перечень документов, предъявляемых работником при поступлении на работу (паспорт, трудовая книжка, страховое свидетельство государственного пенсионного страхования, документы воинского учета, документы об образовании и квалификации, а также иные в установленных случаях). Другие сведения от работника или от третьей стороны (характеристика с предыдущего места работы, справки УВД и др.) работодатель может получить только с письменного согласия работника. Более того, работодатель обязан подробно разъяснить необходимость получения такой информации.
    
    Закон содержит запрет на получение и обработку данных о политических, религиозных и иных убеждениях и частной жизни работника, если они не связаны непосредственно с вопросами трудовых отношений.
    
    На практике это означает, например, что при приеме на работу вы можете поинтересоваться у кандидата, есть ли у него неснятые судимости, так как это может отразиться на его трудовой деятельности. Но вопрос, имел ли он судимости, за которые уже понес наказание, будет, согласно Кодексу, выглядеть как нарушение его прав.
    
    Работник также может скрыть информацию о своем членстве в профсоюзе, если ему это выгодно.
    
    Каждая организация должна вести документы, устанавливающие порядок обработки персональных данных работников, их права и обязанности в этой области. При поступлении на работу работник должен давать расписку в том, что ознакомлен с этими документами.
    
    Очевидно, что доступ к персональным данным имеют не только руководитель организации и работники кадрового органа. С ними полностью или частично могут ознакомиться в связи с исполнением служебных обязанностей программисты и разработчики баз данных, работники бухгалтерии, руководитель структурного подразделения и медики.
    
    Поскольку доступ к персональным данным сотрудников должны иметь только уполномоченные на это лица, обязательным становится принятие локального нормативного акта о допуске к информации и организации передачи информации о работнике внутри самой организации. С этим актом работник также должен быть ознакомлен под расписку.
    
    Отныне каждый работник имеет свободный доступ к своему "личному делу" и вправе получить копии любых записей, содержащих его персональные данные. Если работник не согласен с собранными на него данными оценочного характера (например, характеристикой руководителя), он может дополнить их заявлением, выражающим его собственную точку зрения.
    

    Кадровым службам следует уделять особое внимание передаче данных работника третьим лицам. Их нельзя сообщать без письменного разрешения работника, кроме случаев, установленных федеральным законом. Это ставит работодателя в неоднозначную ситуацию, особенно в тех случаях, когда информацию частного характера запрашивают, например, налоговые службы или другие государственные органы, которым сложно отказать. В таких ситуациях специалисты советуют подробно выяснять, на основании каких законодательных актов организации вправе требовать данные в случаях, когда, например, работник не согласен дать письменное разрешение. Как один из вариантов предотвращения подобных ситуаций предлагается закреплять в трудовом договоре или контракте согласие работника на предоставление его данных определенному кругу лиц внутри компании и некоторым обозначенным организациям. В этом случае не придется по каждому поводу обращаться к работнику за разрешением.
    
    Часто бывает, что организация при приеме на работу сотрудника обращается к его бывшему работодателю с просьбой предоставить информацию о нем. Так как кандидат еще не вступил в трудовые отношения с первой организацией, она имеет право сделать такой запрос. Но бывшему работодателю не стоит терять бдительности, кандидат имеет право предъявить ему претензии по поводу "утечки" информации, полученной в период его трудовой деятельности на предприятии. Лучше в данной ситуации также заручиться его письменным разрешением.
    
    Руководство не может уговорить работника отказаться от своих прав на сохранение и защиту тайны, так как это запрещено законом.
    
    Впервые в трудовое законодательство вводится термин "представитель работника", который защищает интересы работника при решении вопросов обработки данных. Это может быть конкретный человек или группа людей, уполномоченная трудовым коллективом, с которыми руководству придется считаться.
    
    Работник имеет право обжаловать в суде любые неправомерные действия работодателя при обработке и защите его персональных данных. Последнего могут привлечь к ответственности в соответствии с федеральными законами.
    
    Сейчас работодатель за свою оплошность еще может ограничиться штрафом в несколько десятков минимальных окладов. Но с 1 июля вводится в действие новый Кодекс Российской Федерации об административных правонарушениях.
    

    В соответствии со статьей 13.11 Кодекса нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.
    
    Статья 13.14 устанавливает ответственность за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, и влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц - от сорока до пятидесяти минимальных размеров оплаты труда.
    
    Согласно ст.5.27 Кодекса повторное нарушение законодательства о труде предусматривает более суровое наказание в виде дисквалификации на срок от одного года до трех лет. Дисквалификация - это новый вид санкции, который предполагает лишение права выполнять управленческие функции в течение определенного срока.
    
    Уголовным кодексом РФ предусмотрена ответственность за нарушение неприкосновенности частной жизни (ст.137), за отказ в предоставлении гражданину собранных в установленном порядке документов и материалов, непосредственно затрагивающих его права и свободы (ст.140), неправомерный доступ к охраняемой законом компьютерной информации (ст.272).
    
    Так что, как бы работодатели ни были уверены в лояльности своих сотрудников, лучше перестраховаться и лишний раз истребовать согласие работника на любое действие, связанное с его персональными данными.
    

    Отвечая на вопрос, необходимо отметить, что работодатель, которым является не начальник отдела кадров, а руководитель предприятия, имеет право в соответствии с локальным нормативным актом разрешить передачу персональных данных работника уполномоченным лицам службы безопасности. Цели, для которой могут быть переданы данные, указаны в ТК: содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работника, контроль количества и качества выполняемой работы и обеспечение сохранности имущества.
    
    Обобщая вышеизложенное, предлагается следующий алгоритм действий работодателя по выполнению требований Трудового кодекса в области защиты персональных данных работников:
    

    1. На предприятии необходимо принять локальный нормативный акт - Положение о защите персональных данных работников. В Положении необходимо указать, что персональные данные работников являются служебной тайной, и назначить должностных лиц, которые отвечают за обработку персональных данных. В Положении должен быть указан порядок обработки и передачи персональных данных внутри предприятия и третьим лицам.
    

    2. В трудовой договор с лицами, которые отвечают за обработку персональных данных, внести пункт о неразглашении служебной тайны, что предусмотрено статьей 57 ТК.
    

    3. В трудовой договор с работником внести следующие статьи:
    

    - Ознакомление работника с Положением о защите персональных данных.
    

    - Согласие работника на получение и обработку данных о его частной жизни в целях, не противоречащих Трудовому кодексу РФ.
    

    - Согласие работника на получение персональных данных от третьей стороны (указать цели, источники и способы получения таких данных).
    

    - Согласие работника на передачу его персональных данных по запросу государственных органов и третьей стороне в коммерческих целях.

Б.А.Нижегородцев, адвокат,
ЮК 55 "Адвокатское бюро Нарышкиных"
Санкт-Петербургской объединенной коллегии адвокатов
Вознесенский пр., д.41
Тел.: 314-85-27, 312-87-84
(круглосуточно)

11 июня 2002 года N Ю2006