Глава 14. Защита персональных данных работника

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

1. Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (ст. 2 Федерального закона "Об информации, информатизации и защите информации").

Информация содержится в документах, в том числе в унифицированных формах первичной учетной документации по учету труда и его оплаты, утвержденных постановлением Госкомстата России.

Государственным комитетом РФ по статистике утверждены и согласованы с Министерством финансов РФ, Министерством экономического развития и торговли РФ, Министерством труда и социального развития РФ унифицированные формы первичной учетной документации по учету труда и его оплаты:

1.1. По учету кадров:

N Т-1 "Приказ (распоряжение) о приеме работника на работу"; N Т-1a "Приказ (распоряжение) о приеме работников на работу"; N Т-2 "Личная карточка работника"; N Т-2ГС (МС) "Личная карточка государственного (муниципального) служащего"; N Т-3 "Штатное расписание"; N Т-4 "Учетная карточка научного, научно-педагогического работника"; N Т-5 "Приказ (распоряжение) о переводе работника на другую работу"; N Т-5а "Приказ (распоряжение) о переводе работников на другую работу"; N Т-6 "Приказ (распоряжение) о предоставлении отпуска работнику"; N Т-6а "Приказ (распоряжение) о предоставлении отпуска работникам"; N Т-7 "График отпусков"; N Т-8 "Приказ (распоряжение) о прекращении (расторжении) трудового договора с работником (увольнении)"; N Т-8а "Приказ (распоряжение) о прекращении (расторжении) трудового договора с работниками (увольнении)"; N Т-9 "Приказ (распоряжение) о направлении работника в командировку"; N Т-9а "Приказ (распоряжение) о направлении работников в командировку"; N Т-10 "Командировочное удостоверение"; N Т-10а "Служебное задание для направления в командировку и отчет о его выполнении"; N Т-11 "Приказ (распоряжение) о поощрении работника"; N Т-11а "Приказ (распоряжение) о поощрении работников".

1.2 По учету рабочего времени и расчетов с персоналом по оплате труда:

N Т-12 "Табель учета рабочего времени и расчета оплаты труда"; N Т-13 "Табель учета рабочего времени"; N Т-49 "Расчетно-платежная ведомость"; N Т-51 "Расчетная ведомость"; N Т-53 "Платежная ведомость"; N Т-53а "Журнал регистрации платежных ведомостей"; N Т-54 "Лицевой счет"; N Т-54а "Лицевой счет (свт)"; N Т-60 "Записка-расчет о предоставлении отпуска работнику"; N Т-61 "Записка-расчет при прекращении (расторжении) трудового договора с работником (увольнении)"; N Т-73 "Акт о приеме работ, выполненных по срочному трудовому договору, заключенному на время выполнения определенной работы".

Унифицированные формы первичной учетной документации распространяются на юридические лица всех форм собственности, в п. 1.2 постановления Госкомстата России от 5 января 2004 г. N 1 - на юридические лица всех форм собственности, кроме бюджетных учреждений.

2. Информация содержится и в документах, которые работодатель должен потребовать при заключении трудового договора (ст. 65 ТК РФ):

паспорт или иной документ, удостоверяющий личность;

трудовую книжку;

страховое свидетельство государственного пенсионного страхования;

документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;

документ об образовании, квалификации или наличии специальных знаний.

В отдельных случаях с учетом специфики работы ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.

Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.

3. Перечень сведений конфиденциального характера утвержден Указом Президента РФ от 6 марта 1997 г. N 188.

Об охране конфиденциальности информации см. также Федеральный закон "О коммерческой тайне".

4. Персональные данные - сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (Федеральный закон "Об информации, информатизации и защите информации").

Согласно ст. 2 названного Федерального закона:

информатизация - организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов;

документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;

информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;

конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

средства обеспечения автоматизированных информационных систем и их технологий - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы; должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию;

собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования и распоряжения указанными объектами;

владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение, пользование и распоряжение указанными объектами;

пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

5. В соответствии со ст. 20 Федерального закона "Об информации, информатизации и защите информации" целями защиты являются:

предотвращение утечки, хищения, утраты, искажения, подделки информации;

предотвращение угроз безопасности личности, общества, государства;

предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Согласно ст. 21 названного Федерального закона защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Режим защиты информации устанавливается:

в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона РФ "О государственной тайне";

в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании названного Федерального закона;

в отношении персональных данных - названным Федеральным законом.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль производится в порядке, определяемом Правительством РФ (Федеральный закон от 8 августа 2001 г. N 134-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)").

Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.

Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.

Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство РФ. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.

6. Права и обязанности субъектов в области защиты информации установлены в ст. 22 Федерального закона "Об информации, информатизации и защите информации".

Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с названным Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и создают условия для доступа пользователей к информации.

Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств; риск, связанный с использованием информации, полученной из несертифицированной системы, - на потребителе информации.

Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.

Защита прав субъектов в сфере формирования информационных ресурсов, пользования информационными ресурсами, разработки, производства и применения информационных систем, технологий и средств их обеспечения производится в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба (ст. 23 названного Федерального закона).

Приказом Федерального агентства правительственной связи и информации при Президенте РФ от 23 сентября 1999 г. N 158 утверждено Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба.

За правонарушения при работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов РФ.

Для рассмотрения конфликтных ситуаций и защиты прав участников в сфере формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения могут создаваться временные и постоянные третейские суды.

Третейский суд рассматривает конфликты и споры сторон в порядке, установленном законодательством о третейских судах.

Отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы в судебном порядке (ст. 24 рассматриваемого Закона).

Неисполнение или ненадлежащее исполнение обязательств по договору поставки, купли-продажи, по другим формам обмена информационными ресурсами между организациями рассматривается арбитражным судом.

Во всех случаях лица, которым отказано в доступе к информации, и лица, получившие недостоверную информацию, имеют право на возмещение понесенного ими ущерба.

Суд рассматривает споры о необоснованном отнесении информации к категории информации с ограниченным доступом, иски о возмещении ущерба в случаях необоснованного отказа в предоставлении информации пользователям или в результате других нарушений прав пользователей.

Руководители, другие служащие органов государственной власти, организаций, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

1. Работодатель может собирать и обрабатывать персональные данные работников только в следующих целях:

обеспечения соблюдения законов и иных нормативных правовых актов;

содействия работникам в трудоустройстве;

содействия в обучении;

содействия в продвижении по службе

обеспечения личной безопасности работников;

контроля количества и качества выполняемой работы;

обеспечения сохранности имущества.

2. Согласно ст. 23 Конституции РФ каждый человек имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Условно жизнь работника можно разделить на частную жизнь за пределами организации и производственную жизнь.

Конституция предоставила человеку право контролировать информацию о самом себе, не допускать разглашения сведений личного, интимного характера. В определенной степени можно разделять частную и производственную жизнь.

Частная жизнь человека за пределами организации многообразна - это жизнь в семье, общение с друзьями и знакомыми, общение с родственниками, различные увлечения, общение с другими людьми (политическое, религиозное и т.д.).

3. Объем и содержание обрабатываемой информации, которую может собирать и использовать работодатель, ограничен теми документами, которые перечислены в ст. 65 ТК РФ.

Если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то он должен получить письменное согласие работника на такой запрос, например, даже если организация хочет проверить в университете, есть ли в списке выпускников человек, подавший заявление о приеме на работу.

Работодателю запрещено государством собирать данные о политических, религиозных и иных убеждениях работника любыми методами, например с помощью анкетного опроса. Таким образом, социологические, психологические службы не имеют права в своих исследованиях изучать перечисленные убеждения работников.

Работодатель обязан ознакомить работника под расписку с документами, определяющими его права и обязанности по защите персональных данных, а также с порядком обработки его персональных данных.

При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться только на данных, полученных путем автоматизированной обработки. К таким решениям можно отнести решения о переводе на другую работу, об увольнении, о перемещении и др. В этом случае работодатель обязан вступить в переговоры с работником.

Статья 87. Хранение и использование персональных данных работников

1. Работодателю целесообразно разработать локальный нормативный акт с таким названием: "Положение о хранении и использовании персональных данных работников". Положение может включать:

Общие положения.

Понятие и виды персональных данных.

Виды персональных данных, которые можно получать от работника.

Порядок хранения персональных данных работников.

Перечень должностных лиц, которые допущены к работе с персональными данными работников.

Порядок допуска к персональным данным работника.

Перечень персональных данных, с которыми работают должностные лица.

Порядок ознакомления работника под расписку с Положением, а также с персональными данными.

Порядок передачи данных внутри организации.

Порядок передачи данных за пределы организации.

Права и обязанности работника по отношению к персональным данным.

Порядок получения копии документа, содержащего персональные данные.

Порядок исключения или исправления неверных или неполных персональных данных.

Порядок извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Заключительные положения.

2. Положение о хранении и использовании персональных данных работников руководитель организации может принять своим приказом.

Статья 88. Передача персональных данных работника

1. Работодатель имеет право запрашивать информацию о состоянии здоровья работника только в случаях, если есть обоснованные фактами:

сомнения о возможности выполнения работником трудовой функции;

предположение, что работник не полностью выполняет свои обязанности из-за состояния здоровья;

предположение о том, что для работника условия труда, в которых он работает, вредны и его нельзя допускать к работе в таких условиях.

2. Согласно комментируемой статье сотрудники, имеющие доступ к персональным данным работников, обязаны соблюдать режим секретности (конфиденциальности). Следовательно, в каждой организации необходимо принять положение о конфиденциальности персональных данных.

3. Каждая организация обязана принять локальный нормативный акт - Положение о хранении и использовании персональных данных работников. О содержании Положения (см. комментарий к ст. 87 ТК РФ).

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

1. К персональным данным оценочного характера можно отнести характеристики, аттестации, объективки, докладные записки, оценки, сделанные в других формах.

Работник имеет право дополнить данные оценочного характера, сделанные работодателем, заявлением, выражающим его собственную точку зрения. Этот документ может называться "заявление".

Если на работника наложено дисциплинарное взыскание, которое, бесспорно, носит оценочный характер, работник может написать заявление, объясняющее его поведение. Кроме этого, он имеет право добиться через систему рассмотрения трудовых споров признания незаконности наложенного взыскания, а также снятия взыскания.

2. Представителем работника перед работодателем для защиты его персональных данных могут выступать профсоюзный орган или выбранный работниками на общем собрании или конференции организации представитель - работник организации.

3. Если работник обратится к руководителю организации с заявлением о включении в его личное дело объяснения по какому-либо факту, то руководитель обязан поместить этот документ в личное дело работника. Например, в характеристике государственного служащего, находящейся в его личном деле, приводятся порочащие его сведения. Государственный служащий в данной ситуации обращается к руководителю государственного органа с просьбой поместить в личное дело его объяснение. Руководитель государственного органа обязан это сделать.

4. В целях охраны конфиденциальности информации на работника ст. 11 Федерального закона "О коммерческой тайне" возлагает 5 обязанностей:

выполнять установленный работодателем режим коммерческой тайны;

не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях;

не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период срока действия трудового договора, или в течение 3 лет после прекращения трудового договора, если указанное соглашение не заключалось;

возместить причиненный работодателю ущерб, если работник виновен в разглашении информации, составляющей коммерческую тайну, ставшей ему известной в связи с исполнением им трудовых обязанностей;

передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну.

5. Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением им трудовых обязанностей (ст. 11 Федерального закона "О коммерческой тайне").

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

1. Дисциплинарная ответственность предусмотрена по ст. 192 ТК РФ. За дисциплинарный проступок могут быть применены следующие дисциплинарные взыскания: замечание; выговор; увольнение по соответствующим основаниям.

2. Административная ответственность наступает по ст. 5.39 КоАП РФ за отказ в предоставлении гражданину информации.

Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации влечет наложение административного штрафа на должностных лиц в размере от 5 до 10 МРОТ.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет ответственность по ст. 13.11 КоАП РФ: предупреждение или наложение административного штрафа на граждан в размере от 3 до 5 МРОТ; на должностных лиц - от 5 до 10 МРОТ; на юридических лиц - от 50 до 100 МРОТ.

3. Уголовная ответственность наступает по ст. 137 УК РФ за нарушение неприкосновенности частной жизни.

За незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан, взыскивается штраф в размере от 200 до 500 МРОТ или в размере заработной платы или иного дохода осужденного за период от 2 до 5 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до 1 года, либо арестом на срок до 4 месяцев.

За те же деяния, совершенные лицом с использованием своего служебного положения, взимается штраф в размере от 500 до 800 МРОТ или в размере заработной платы или иного дохода осужденного за период от 5 до 8 месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо арестом на срок от 4 до 6 месяцев.

4. Работодатель вправе потребовать возмещения причиненных убытков лицом, прекратившим с ним трудовые отношения, в случае, если это лицо виновно в разглашении информации, составляющей коммерческую тайну, доступ к которой это лицо получило в связи с исполнением им трудовых обязанностей, если разглашение такой информации последовало в течение срока, установленного в соответствии с п. 3 ч. 3 ст. 11 Федерального закона "О коммерческой тайне".

Причиненные ущерб либо убытки не возмещаются работником или прекратившим трудовые отношения лицом, если разглашение информации, составляющей коммерческую тайну, явилось следствием непреодолимой силы, крайней необходимости или неисполнения работодателем обязанности по обеспечению режима коммерческой тайны.

Трудовым договором с руководителем организации должны предусматриваться его обязательства по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны ее конфиденциальности.

Руководитель организации возмещает организации убытки, причиненные его виновными действиями в связи с нарушением законодательства РФ о коммерческой тайне. При этом убытки определяются в соответствии с гражданским законодательством.