Российский бухгалтер. http://www.rosbuh.ru Защита персональных данных работников 13.10.2009 А.В. Сутягин Эксперт журнала Широкое распространение информационных технологий несет в себе как пользу, так и опасность. В частности это касается возможности свободно получать, обрабатывать и распространять сведения о гражданах страны. В последнее время распространение баз данных с номерами телефонов, местом жительства, имущественным положением и другой информацией приобрело большие масштабы, что приводит к нарушению прав граждан на конфиденциальность сведений о личной жизни. В целях защиты персональных данных приняты ряд федеральных законов. Не забыли и про работодателей. Они тоже обязаны принимать меры по охране персональных данных своих работников. Правовой основой защиты персональных данных являются Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс Российской Федерации, Федеральный закон ? 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон ? 152-ФЗ «О персональных данных», постановление Правительства Российской Федерации от 15 сентября 2008 г. ? 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», и другие нормативные правовые акты. Прежде всего определимся, что означает термин «персональные данные». В Федеральном законе ? 152-ФЗ сказано, что персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Трудовой кодекс, в силу специфики отношений, которые он регулирует, понятие персональных данных несколько уже. Так, статья 85 определяет эти данные как информацию, необходимую работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. При приеме на работу работодатель предлагает заполнить работнику анкету, где тот предоставляет о себе довольно обширный перечень информации. Кроме того, работник предоставляет удостоверение личности, документы об образовании, трудовую книжку, медицинское заключение, если оно необходимо для выполнения трудовых функций, свой ИНН, страховое пенсионное свидетельство и т.д. Указанная информация хранится, как правило в отделе кадров на бумажных носителях в личном деле работника либо в компьютере в виде файлов. Для защиты персональных данных работника работодатель обязан принимать ряд мер, которые указаны в статье 86 ТК РФ. К примеру, обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Под обработкой персональных данных закон понимает получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. Получение персональных данных должно производиться непосредственно у работника. В крайнем случае при необходимости получения сведений у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Таким образом без согласия работника получать информацию о нем со стороны нельзя. Трудовой кодекс устанавливает запрет получение и обработку персональных данных работника о его политических, религиозных и иных убеждениях и частной жизни. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами. При этом меры защиты персональных данных должны разрабатываться совместно работниками и работодателем. На предприятии должен быть введен документ — Положение о защите персональных данных, в котором содержаться указания о способах и порядке сбора, обработки, хранения, уничтожения персональных данных работников. Здесь же указываются общие положения о способах защиты данных. В положении должно быть предусмотрено в каких случаях возможна передача данных третьим лицам с согласия работника и в каких случаях такого согласия не требуется. Статья 88 ТК РФ устанавливает специфические требования к передаче персональных данных работников. Вот они: не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами; не сообщать персональные данные работника в коммерческих целях без его письменного согласия; предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами; осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись; разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций; не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции; передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций. Для защиты персональных данных могут быть приняты как организационные, так и технические меры. К организационным можно отнести создание нормативных локальных актов, определение круга лиц, несущих ответственность за защиту сведений, определение порядка доступа к данным. К техническим можно отнести применение запирающих устройств на дверях помещений, где хранятся персональные данные, применение паролей и специальных программных средств для защиты баз данных и отдельный файлов, содержащих персональные данные работников. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на: полную информацию об их персональных данных и обработке этих данных; свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом; определение своих представителей для защиты своих персональных данных; доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору; требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения; требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. Если Гражданским кодексом предусмотрено возмещение вреда, причиненного незаконным распространением сведений о персональных данных, то Уголовный кодекс предусматривает более серьезное наказание. Так, согласно статье 137 УК РФ незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. А с 1 января 2010 года наказание ужесточат лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Если же указанные выше действия были совершены лицом с использованием своего служебного положения, наказание будет строже: штраф в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арест на срок от четырех до шести месяцев. Здесь также с 1 января 2010 года будет введено новое альтернативное наказание в виде лишения свободы на срок от одного года до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
Источник Статья добавлена Клим
14.10.2009 19:26