Защита персональных данных работников

Статьей 86 Трудового кодекса РФ предусмотрены основные обязанности работодателя при обработке персональных данных работника и гарантии их защиты. 

Подробный порядок организации работы с персональными данными содержатся в Федеральном законе «О персональных данных» № 152-ФЗ от 27.07.2006.

Обработка персональных данных работника может осуществляться исключительно в целях:

• Обеспечения соблюдения законов и иных нормативных правовых актов;
• Содействия работникам в трудоустройстве, получении образования и продвижении по службе;
• Обеспечения личной безопасности работников;
• Контроля количества и качества выполняемой работы;
• Обеспечения сохранности имущества.

Пункт 10 статьи 86 ТК РФ предусматривает, что работодатель вправе издавать локальные нормативные акты о защите персональных данных работников и, в частности, предусматривать меры защиты такой информации в коллективном договоре.

Пункт 7 статьи 86 ТК РФ предусматривает также, что защита персональных данных от неправомерного использования или утраты должна обеспечиваться работодателем за счет его средств.

Условия защиты персональных данных работника

Все персональные данные работника по общему правилу запрашиваются у него лично.

Письменное согласие работника на обработку персональных данных обязательно в большинстве случаев, если его персональные данные возможно получить только у третьей стороны.

Работник, кроме того, должен быть извещен о целях, предполагаемых источниках и способах получения персональных данных, а также о характере получаемых персональных данных и последствиях отказа работника дать письменное согласие на получение персональных данных.

Персональные данные работника о его политических, религиозных и иных убеждениях, его членстве в общественных объединениях или его профсоюзной деятельности, а также о его частной жизни неприкосновенны и не подлежат обработке работодателем.

Содержание персональных данных работника

Персональные данные работника содержат три группы сведений:

• Информация, получаемая работодателем из разных источников, но только с волеизъявления самого работника.
• Информация, получаемая работодателем от самого работника в обязательном порядке независимо от желания последнего.
  К такой информации относятся сведения, содержащиеся в документах, которые работник предоставляет при заключении трудового договора согласно ст. 65 ТК:
  • Паспорт или иной документ, удостоверяющий личность;
  • Трудовую книжку;
  • Страховое свидетельство государственного пенсионного страхования;
  • Документы воинского учета;
  • Документ об образовании и (или) о квалификации или наличии специальных знаний;
  • Справка о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования.
• Информация, формируемая самим работодателем.
  Это сведения о работнике, которые работодатель накапливает в течение всей трудовой деятельности лица, например:
  • Результаты аттестации;
  • Профессиональная переподготовка;
  • Размер заработной платы;
  • Наличие поощрений;
  • Время использования отпусков.

Способы обработки персональных данных

Сбор и обработка персональных данных, в соответствии с законодательством, осуществляются двумя способами: автоматизированным и неавтоматизированным.

Под автоматизированной обработкой персональных данных понимается их обработка при помощи средств вычислительной техники. Средствами вычислительной техники могут быть электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства, в том числе и установленное программное обеспечение.

В соответствии с пунктом первым Положения «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного Постановлением Правительства РФ № 687, неавтоматизированной обработкой являются любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Причем обработку нельзя признать автоматизированной только потому, что персональные данные содержатся в информационной системе или извлечены из нее.

Особенности автоматизированной защиты персональных данных

Автоматизированная защита персональных данных представляет собой в первую очередь внедрение у работодателя специальной системы защиты конфиденциальной информации.

Создание системы защиты персональных данных — это комбинация целого ряда организационно-распорядительной документации и технических средств защиты.

Таким образом, осуществлять данные мероприятия могут только организации имеющие лицензию на деятельность по технической защите конфиденциальной информации, полученную в соответствии с Постановлением Правительства РФ от 03.02.2012 № 79.

Особенности неавтоматизированной обработки персональных данных

Для этого способа работы с конфиденциальной информацией издано отдельное Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.

К анкетным данным относятся:

• Фамилия, имя, отчество;
• Дата и место рождения;
• Паспортные данные;
• Сведения об образовании, имеющихся навыках, повышении квалификации, наличии ученых степеней и званий, ученых трудов;
• Сведения о предыдущей трудовой деятельности;
• Информация о получаемом вознаграждении за труд.
  В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, то она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных.
• Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
  • Сведения о цели обработки персональных данных, осуществляемой без Использования средств автоматизации;
  • Имя (наименование) и адрес работодателя;
  • Фамилию, имя, отчество и адрес субъекта персональных данных;
  • Источник получения персональных данных;
  • Сроки обработки персональных данных;
  • Перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
• Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
• Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
• Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Кроме того, анкета соискателя должна содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней.

Хранение персональных данных работников

Статья 87 ТК РФ предусматривает, что хранение персональных данных работника осуществляется в соответствии с порядком, который определяется работодателем.

Документы кадрового учета, которые содержат персональные данные:

• Трудовая книжка;
• Приказы о приеме работника на работу, переводе на другую работу, предоставлении отпуска;
• Личная карточка работника;
• Другие документы в соответствии с перечнем документации по учету труда и его оплаты, сформированном работодателем на основании Постановления Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты».

Приведенные документы с информацией о работниках, как правило, хранятся в кадровой службе организации.

Срок хранения персональных данных работника

В соответствии с ч. 7 ст. 5 Федерального закона «О персональных данных» хранение персональных данных, получаемых в связи с их обработкой с использованием средств автоматизации или без использования таких средств, должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Работодателю следует помнить о регламентных сроках хранения некоторой документации. Например, личное дело работника должно храниться 75 лет (Приказ Минкультуры РФ от 25.08.2010 N 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»).

Передача персональных данных работника

Статья 88 ТК РФ устанавливает требования к работодателям, которые они должны соблюдать при передаче персональных данных работника.

Прежде всего, работодатель при передаче персональных данных работника не должен сообщать эти данные третьей стороне без письменного согласия работника (за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в других случаях, установленных федеральным законом), а также не должен сообщать их в коммерческих целях без согласия работника.

Обработка персональных данных медицинских работников

Одним из примеров ситуации, когда получение работодателем согласия на обработку персональных данных не требуется, служит особый режим обработки персональных данных медицинских работников

Согласно п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети Интернет, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и об их квалификации.