Главная страница
Навигация по странице:

  • (Peck v. United Kingdom);

    		•

    Аттестационная работа.. Правовое регулирование оборота персональных данных личности является одной из актуальных проблем современной правовой науки и практики


    Скачать 97.65 Kb.
    НазваниеПравовое регулирование оборота персональных данных личности является одной из актуальных проблем современной правовой науки и практики
    Дата24.01.2018
    Размер97.65 Kb.
    Формат файлаdocx
    Имя файлаАттестационная работа..docx
    ТипДокументы
    #35018
    страница2 из 3
    1   2   3
    Глава 3. ПЕРСОНАЛЬНЫЕ ДАННЫЕ В КАДРОВОМ ДОКУМЕНТООБОРОТЕ
    3.1. Актуальные проблемы сбора и обработки персональных данных в трудовых отношениях
    Применение законодательства о персональных данных в трудовых отношениях стало одной из самых обширных, актуальных и широко обсуждаемых проблем, возникших после принятия Закона о персональных данных. Связано это в первую очередь с тем, что в нашей стране в трудовые отношения вовлечено огромное количество людей и организаций. С принятием Закона все работодатели получили статус операторов информационных систем персональных данных, и это наложило на них целый комплекс дополнительных обязанностей, потребовало организационной перестройки кадрового дела и документооборота.

    Интересно отметить, что вступивший в силу в 2002 г. Трудовой кодекс РФ содержал систематизированный и закрепленный в отдельной главе комплекс норм, регулирующий вопросы защиты персональных данных работника. Это явилось важной новеллой в законодательстве в целом, поскольку в тот период времени еще ни одна отрасль права и законодательства не содержала более или менее систематизированного правового регулирования данной сферы общественных отношений.

    Изучая практику, можно с полной уверенностью сказать, что 90% всех вопросов, связанных с применением законодательства о персональных данных, связано именно с трудовыми отношениями. О причинах этого было сказано выше.

    Прежде всего следует сразу оговориться, что под трудовыми отношениями мы будем подразумевать и служебные отношения (с учетом имеющихся отличий, естественно), т.е. отношения, с учетом особенностей, установленных законодательством и подзаконными актами о государственной службе.

    Итак, проблема защиты персональных данных в трудовых отношениях имеет два аспекта.

    Первый аспект связан с комплексом мер по защите персональных данных работников в организации. Во-первых, он включает в себя обязательства работодателя - оператора по организации и реализации соответствующего порядка работы с персональными данными сотрудников и их защите. Во-вторых, в него входят и обязательства самих сотрудников, непосредственно осуществляющих обработку персональных данных в организации. Этот аспект урегулирован правом в достаточной степени.

    Второй аспект данной проблемы связан с обработкой персональных данных соискателей, т.е. лиц, устраивающихся на работу. Специальная правовая регламентация этих процедур на данный момент отсутствует.

    За последние годы процесс устройства на работу значительно усложнился. Сначала кандидат с помощью телекоммуникационных средств связи рассылает свои резюме широкому кругу лиц, затем посещает многочисленные интервью, заполняет анкеты, проходит профессиональное и психологическое тестирование, наконец, подвергается проверке службой безопасности. В отдельных организациях даже предлагается пройти проверку на полиграфе (более известном как детектор лжи).

    В результате всех этих мероприятий в различных организациях накапливается огромное количество персональных данных кандидатов.

    Однако Трудовой кодекс РФ оставляет все эти продолжительные по времени и весьма интенсивные по обмену информацией процедуры за рамками правового регулирования. Как правило, кандидат предоставляет в кадровые службы объем персональных данных, значительно превышающий тот, что необходим собственно для поступления на работу. При этом закрепленное в п. 4 ст. 86 ТК РФ требование об обязательном согласии работника на обработку своих персональных данных при буквальном толковании действительно только в отношении работника, но не в отношении соискателя. Формально соискатель (обозначенный в ТК РФ как лицо, поступающее на работу) попадает в сферу действия ТК РФ только при заключении трудового договора, а до этого момента его правовой статус в трудовых отношениях остается неопределенным, что, конечно же, не отвечает современным требованиям к уровню правовой защиты прав граждан. Тем не менее нельзя не признать такую ситуацию выгодной для работодателей, которые ею и пользуются, зачастую требуя от соискателей предоставления совершенно лишней информации, не имеющей никакого отношения к будущей трудовой деятельности.

    Практика истребования дополнительных документов у соискателей широко распространена в кадровом менеджменте, и это нельзя автоматически признавать нарушением трудового законодательства, в том числе и в части защиты персональных данных. Соискателю предоставление дополнительных документов (аттестатов, характеристик, рекомендаций) дает возможность показать себя с наилучшей стороны как профессионала, а рекрутеру - всесторонне оценить кандидата.

    Дополнительные документы у соискателей могут быть истребованы при соблюдении двух условий. Во-первых, объем и характер обрабатываемых персональных данных должны соответствовать целям обработки и недопустимости сбора избыточных данных (п. п. 3, 4 ст. 5 Закона о персональных данных). Это значит, что организации не вправе требовать от соискателей предоставления сведений о близких родственниках и местах их работы, о личных привычках соискателя, его личной жизни и т.п., что делается довольно часто. Эти сведения чаще всего никак не связаны с будущими трудовыми функциями соискателя, не отвечают целям сбора персональных данных и избыточны по отношению к ним. Согласно п. 5 ст. 86 ТК РФ работодатель вправе в исключительных случаях обрабатывать сведения о частной жизни лица, но только при условии, что они непосредственно связаны с трудовыми отношениями. Во-вторых, собирать дополнительную информацию работодатель вправе только при наличии письменного согласия соискателя на предоставление сведений, касающихся его частной жизни (п. 4 ст. 86 ТК РФ). Причем второе условие - дополнительное и оно не позволяет обойти первое, как это может показаться на первый взгляд.

    С точки зрения закона неправомерные действия работодателя могут стать основанием для привлечения его к административной ответственности по ст. 13.11 КоАП РФ.

    Если, например, работодатель желает получить характеристику с места прежней работы сотрудника, он вправе ее затребовать, а бывший работодатель ее предоставить при условии письменного согласия сотрудника. В этом случае все формальности относительно защиты персональных данных будут соблюдены.

    В настоящее время ТК РФ нуждается в дополнении нормами, регулирующими отношения между соискателем и работодателем, а до этого момента права соискателя на защиту персональных данных могут быть обеспечены нормами Закона о персональных данных и по аналогии - нормами ТК РФ, касающимися защиты персональных данных работников.

    Порядок сбора и обработки персональных данных работников, установленный в гл. 14 ТК РФ, в целом позволяет определить те основные принципы и правила, которые необходимы работодателю, чтобы "наладить" работу с персональными данными сотрудников на уровне, соответствующем Закону о персональных данных.

    По определению ст. 85 ТК РФ персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Безусловно, такая формулировка несколько неопределенна. Отсутствие исчерпывающего перечня необходимых работодателю персональных данных является одним из факторов, затрудняющих правоприменение. Вместе с тем установить перечень необходимых персональных данных можно, используя ст. 65 ТК РФ, в которой перечислены документы, предоставляемые для заключения трудового договора. К ним относятся:

    - паспорт или иной документ, удостоверяющий личность;

    - трудовая книжка (за исключением случаев, установленных законом);

    - страховое свидетельство государственного пенсионного страхования;

    - документы воинского учета;

    - документы об образовании, квалификации и т.п.

    На практике для ведения бухгалтерской и иной отчетности работодателю, как правило, необходимы сведения о семейном положении, наличии детей и т.п. Для установления профессиональной и квалификационной пригодности требуются не только документы об образовании (основном и дополнительном), но и о профессиональном опыте, стаже работы, т.е. та информация, которая обычно указывается в резюме соискателя и трудовой книжке. Кроме того, существует дополнительная информация, которую сам работник предоставляет по собственной инициативе с целью получения льгот, компенсаций, гарантий и т.п. (например, матери-одиночки, беременные женщины).

    Приведенный перечень документов является общим. Законодательством могут устанавливаться дополнения к нему, связанные со спецификой трудовой (служебной) деятельности. Следует иметь в виду, что к настоящему времени многие органы исполнительной власти имеют нормативные акты (положения) о порядке обработки персональных данных своих служащих и ведении их личных дел.

    Например, согласно пункта 16 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 г. N 609, к личному делу гражданского служащего приобщаются:

    а) письменное заявление с просьбой о поступлении на гражданскую службу и замещении должности государственной гражданской службы Российской Федерации;

    б) собственноручно заполненная и подписанная гражданином Российской Федерации анкета установленной формы с приложением фотографии;

    в) документы о прохождении конкурса на замещение вакантной должности гражданской службы (если гражданин назначен на должность по результатам конкурса);

    г) копия паспорта и копии свидетельств о государственной регистрации актов гражданского состояния;

    д) копия трудовой книжки или документа, подтверждающего прохождение военной или иной службы;

    е) копии документов об образовании и о квалификации, документов о квалификации, подтверждающих повышение или присвоение квалификации по результатам дополнительного профессионального образования, документов о присвоении ученой степени, ученого звания (если таковые имеются);

    ж) копии решений о награждении государственными наградами Российской Федерации, Почетной грамотой Президента Российской Федерации, об объявлении благодарности Президента Российской Федерации, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются);

    з) копия акта государственного органа о назначении на должность гражданской службы;

    и) экземпляр служебного контракта, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в служебный контракт;

    к) копии актов государственного органа о переводе гражданского служащего на иную должность гражданской службы, о временном замещении им иной должности гражданской службы;

    л) копии документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

    м) копия акта государственного органа об освобождении гражданского служащего от замещаемой должности гражданской службы, о прекращении служебного контракта или его приостановлении;

    н) аттестационный лист гражданского служащего, прошедшего аттестацию, и отзыв об исполнении им должностных обязанностей за аттестационный период;

    о) экзаменационный лист гражданского служащего и отзыв об уровне его знаний, навыков и умений (профессиональном уровне) и о возможности присвоения ему классного чина государственной гражданской службы Российской Федерации;

    п) копии документов о присвоении гражданскому служащему классного чина государственной гражданской службы Российской Федерации (иного классного чина, квалификационного разряда, дипломатического ранга);

    р) копии документов о включении гражданского служащего в кадровый резерв, а также об исключении его из кадрового резерва;

    с) копии решений о поощрении гражданского служащего, а также о наложении на него дисциплинарного взыскания до его снятия или отмены;

    т) копии документов о начале служебной проверки, ее результатах, об отстранении гражданского служащего от замещаемой должности гражданской службы;

    у) документы, связанные с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности гражданской службы связано с использованием таких сведений;

    ф) сведения о доходах, имуществе и обязательствах имущественного характера гражданского служащего;

    х) копия страхового свидетельства обязательного пенсионного страхования;

    ц) копия свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;

    ч) копия страхового медицинского полиса обязательного медицинского страхования граждан;

    ш) медицинское заключение установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на гражданскую службу или ее прохождению;

    щ) справка о результатах проверки достоверности и полноты представленных гражданским служащим сведений о доходах, имуществе и обязательствах имущественного характера, а также сведений о соблюдении гражданским служащим ограничений, установленных федеральными законами.

    К личному делу гражданского служащего приобщаются иные документы, предусмотренные федеральными законами и иными нормативными правовыми актами Российской Федерации.

    Учетные данные гражданских служащих в соответствии с порядком, установленным Президентом Российской Федерации, хранятся кадровой службой государственного органа на электронных носителях. Кадровая служба обеспечивает их защиту от несанкционированного доступа и копирования.

    Как уже упоминалось, согласно п. 4 ст. 86 ТК РФ в случаях, непосредственно связанных с трудовыми отношениями, работодатель вправе с письменного согласия работника получать и обрабатывать персональные данные о частной жизни. Границы для применения столь расплывчатой нормы поможет установить ст. 86 ТК РФ, где определены следующие цели получения и обработки персональных данных работника:

    1) соблюдение законов и иных нормативно-правовых актов;

    2) содействие в трудоустройстве, обучении и продвижении по службе;

    3) обеспечение личной безопасности работников;

    4) контроль объема и качества выполняемой работы;

    5) обеспечение сохранности имущества;

    а также сказано, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.

    К сожалению, ТК РФ не содержит никаких установлений относительно сроков хранения персональных данных. До внесения соответствующих дополнений следует руководствоваться нормами Закона о персональных данных, устанавливающих, что персональные данные должны быть уничтожены по достижении целей обработки.

    В свете принятия Закона о персональных данных возникла и еще одна проблема, на которую пока мало кто из специалистов обратил внимание. Дело в том, что работодатель собирает и обрабатывает персональные данные работников не только в процессе их устройства на работу, но часто еще более активно - в процессе их работы, причем сбор этих данных имеет цели, весьма отдаленно связанные с трудовой деятельностью, и работодатель не только не спрашивает согласия сотрудников на это, но часто даже не считает нужным ставить их в известность о проводимых мероприятиях.

    На что только не идут работодатели, чтобы обезопасить себя от реальных и мнимых угроз. Установление камер видеонаблюдения во всех доступных помещениях объясняется необходимостью предотвращения случаев расхищения имущества, употребления наркотиков, сексуальных домогательств на рабочем месте, но главное - контролем качества работы. Интересно отметить, что при "ближайшем рассмотрении" ни одна из этих "причин" не может служить основанием для ведения видеонаблюдения. Факт расхищения имущества с помощью одной видеозаписи не докажешь. Употребление наркотиков и сексуальные домогательства в большинстве случаев относятся к частной жизни работников, которая работодателя интересовать не должна. А поведение сотрудников в столовой, курилке или туалетной комнате ни малейшего отношения к качеству работы не имеет.

    Кроме того, многие работодатели считают мониторинг пользования сотрудниками сетью Интернет незаменимым средством для поддержания трудовой дисциплины. Проверка электронной корреспонденции и прослушка телефонных переговоров объясняются необходимостью предотвращения распространения инсайдерской информации.

    Разумеется, чаще всего никто не заботится о том, чтобы поставить в известность работников обо всех этих мероприятиях, как и о том, чтобы взять у них на это письменное согласие. Впрочем, даже при наличии письменного согласия признать эти действия законными нельзя.

    Европейский суд по правам человека неоднократно подчеркивал, что даже в публичной сфере существует зона взаимодействия человека с другими людьми, которая может относиться к "частной жизни" (Постановление Европейского суда от 28 января 2003 г. по делу "Пек против Соединенного Королевства" (Peck v. United Kingdom); 5Европейского суда по правам человека от 24 июня 2004 г. "Дело "Фон Ганновер (Принцесса Ганноверская) (Von Hannover) против Германии") [20].

    Во-вторых, собранные такими способами персональные данные будут, скорее всего, больше связаны с частной жизнью сотрудников, чем с выполняемыми ими трудовыми функциями. А это будет нарушением норм ТК РФ о запрете сбора дополнительных персональных данных работодателем (п. 5 ст. 86 ТК РФ) и нарушением принципа, закрепленного в ст. 5 Закона о персональных данных, согласно которому объем, характер и способы обработки персональных данных должны соответствовать целям обработки и недопустимости сбора избыточных персональных данных.

    Стремление работодателей обезопасить бизнес от информационных и иных угроз вполне объяснимо, особенно если учесть, какое распространение получила в последнее время торговля инсайдерской информацией. Вместе с тем никто не отменял конституционного права на неприкосновенность частной жизни и основанного на нем права на защиту персональных данных.

    Впрочем, существуют ситуации, а точнее, виды производственной и иной деятельности, где постоянный видеомониторинг необходим. Например, стойки регистрации и зоны прохождения таможенного досмотра и контроля в аэропортах; военное, химическое, бактериологическое, ядерное производство и т.п. Использование видеонаблюдения здесь помогает оперативно отслеживать качество продукции и безопасность производства. Но даже в таких случаях работники должны быть ознакомлены под роспись со специальным регламентом, закрепляющим цели и основания видеонаблюдения.
    3.2. Регламентация работы с персональными данными сотрудников в организации
    Правила обработки персональных данных работников регулируются гл. 14 ТК РФ, Законом о персональных данных, отраслевыми подзаконными нормативными актами и локальными нормативными актами организации. Следует сразу оговориться, что положения гл. 14 ТК РФ правом на защиту персональных данных наделяют только работника. Не только соискатель, но и бывший работник в Кодексе не упоминаются. Таким образом, если в локальном нормативном акте не установлено иное, после увольнения работника его персональные данные подлежат правовой защите на общих основаниях, предусмотренных Законом о персональных данных. Закон предписывает уничтожение персональных данных по достижении целей обработки (п. 2 ст. 5 Закона о персональных данных).

    Так как же привести в соответствие с требованиями закона работу с персональными данными в организации? Для этого необходимо решить несколько задач:

    1) разработать соответствующее локальное нормативное регулирование;

    2) проинформировать и обучить персонал;

    3) обеспечить организационные и материально-технические условия для работы с персональными данными;

    4) в случае необходимости обеспечить техническую защиту информационной системы персональных данных.
    3.2.1. Разработка локального нормативного регулирования
    В контексте Закона о персональных данных все работодатели являются операторами информационных систем персональных данных работников, что налагает на них целый ряд обязанностей. Нарушение требований законодательства грозит применением мер ответственности, в частности административной.

    Итак, первый шаг - это разработка специального локального нормативного регулирования. Оно имеет целью имплементировать требования закона в локальные нормы конкретной организации с учетом ее особенностей. Прежде всего в организации должен быть разработан и принят единый нормативный акт, регулирующий работу с персональными данными. Назовем его Положение о персональных данных. Несмотря на то что ни в Законе о персональных данных, ни в ТК РФ прямо такая обязанность не предусмотрена, отсутствие такого акта судебная практика расценивает как нарушение, и организация может быть привлечена к административной ответственности по ч. 1 ст. 5.27 КоАП РФ.

    Так, ФАС Московского округа в Постановлении от 1 ноября 2014 г. N КА-А40/10787-06 установил, что организация в период своей деятельности нарушила требование ст. ст. 85 - 87 ТК РФ, что выразилось в неиздании локального нормативного акта, которым устанавливается порядок обработки персональных данных работников, а также их права и обязанности в этой области. Работники знакомятся с таким актом под расписку. В связи с этим суд посчитал привлечение организации к административной ответственности по ч. 1 ст. 5.27 КоАП РФ правильным [19].

    Положение о персональных данных должно содержать следующие сведения.

    1. Определение персональных данных работника; правовое основание, цель и перечень подлежащих сбору и обработке персональных данных; перечень документов, содержащих персональные данные; способы получения персональных данных.

    При этом, персональные данные собираются не только при оформлении на работу. Таких перечней, как и целей, может быть несколько. Один перечень - для соискателей, другой - для оформляемых на работу, третий - для направляемых на стажировку, переподготовку и т.п., четвертый - для оформления льгот и т.д. Главное, чтобы все основания сбора персональных данных не были забыты. Если работодатель ведет видеонаблюдение, мониторинг почтовой корреспонденции, прослушку телефонных разговоров, то он также обязан прописать правовое основание, цель и перечень собираемых с помощью этих мероприятий персональных данных (если сможет).

    При составлении перечней персональных данных и документов, их содержащих, нужно руководствоваться правилами ТК РФ, о которых мы уже говорили в предыдущем параграфе. Главное, чтобы собираемые сведения и документы имели прямое отношение к трудовым функциям работника и не были избыточны по отношению к ним.

    2. Круг должностей, допущенных к работе с персональными данными.

    Круг должностей не должен быть неоправданно широким. К работе с персональными данными допускаются руководители организаций и их заместители, руководители структурных подразделений - к персональным данным своих работников; работники кадровой службы, бухгалтерия, сотрудники юридического отдела.

    3. Регламент работы с персональными данными, обеспечивающий их конфиденциальность.

    Он включает в себя несколько пунктов: описание действий (операций) с персональными данными; описание организационной защиты; описание технической защиты; порядок внутреннего и внешнего допуска к персональным данным; контроль и отчетность.

    Особое значение имеют правила внешнего допуска к персональным данным. Организация обязана предоставлять персональные данные работников (без их согласия) государственным и муниципальным органам, а также членам семьи работника в случаях, установленных законом. В остальных случаях согласие работника обязательно (например, при выдаче характеристики бывшему работнику).

    Передача персональных данных контрагентам в процессе реализации договорных отношений должна учитывать общие требования к обеспечению конфиденциальности персональных данных, установленных Законом о персональных данных (передача по защищенным каналам, доступ только уполномоченных лиц, особый регламент работы с персональными данными). Можно включить в соответствующий договор условия об ответственности за нарушения обработки персональных данных.

    4. Перечень лиц, ответственных за работу с персональными данными.

    5. Меры ответственности.

    Имеются в виду дисциплинарные взыскания, правом наложения которых наделен работодатель.

    Положение о персональных данных может состоять из двух частей - основной и дополнительной (конфиденциальных приложений). В основной части излагаются общие требования, а в конфиденциальных приложениях - подробные характеристики технической защиты баз данных, пароли доступа, места хранения ключей от запирающихся шкафов с бумажными носителями персональных данных, описание действия систем охраны помещений и т.д. С конфиденциальными приложениями работодатель знакомит только тех работников, в чьи обязанности непосредственно входит работа с персональными данными. Такой порядок позволяет лучше обеспечивать конфиденциальность персональных данных. Он вытекает из принципа защиты информации, согласно которому нельзя "держать все яйца в одной корзине". Информация делится на блоки, каждый из которых подлежит отдельной защите.

    Кроме Положения о персональных данных в организации должен быть принят приказ о назначении лиц, ответственных за работу с персональными данными. В должностные инструкции и трудовые договоры работников, в чьи обязанности входит работа с персональными данными, внесены соответствующие пункты об охране конфиденциальности и соблюдении правил работы с персональными данными и о мерах ответственности.

    Некоторые специалисты рекомендуют брать у работников письменное согласие на сбор и обработку их персональных данных, однако закон этого не требует. Сам факт заключения трудового договора выступает свидетельством согласия работника на обработку персональных данных, а гарантией законности обработки служат вышеперечисленные документы.
    3.2.2. Инструктаж персонала
    Его целью является обучение работников правилам работы с персональными данными и их информационными системами, позволяющими обеспечить охрану их конфиденциальности. Без этого невозможна эффективная защита персональных данных в организации хотя бы потому, что не проинформированный должным образом работник виновным в нарушении правил работы с персональными данными не признается. Виновным будет считаться работодатель как не обеспечивший необходимую правовую защиту.

    На работодателе лежит обязанность ознакомить всех работников организации (а не только тех, в чьи обязанности непосредственно входит работа с персональными данными) с правилами обработки и защиты персональных данных в организации, а также с правами и обязанностями работников в этой области. Сделать это проще всего, ознакомив работников с основным текстом Положения о защите персональных данных под роспись.

    Те работники, в чьи обязанности непосредственно входит работа с персональными данными, должны быть ознакомлены с полным текстом Положения о защите персональных данных работников или с теми его частями, которые затрагивают порядок исполнения их трудовых функций. Например, кадровика не обязательно знакомить с особенностями работы систем технической защиты, зато просто необходимо - с организационными правилами работы с персональными данными.

    Работники, обеспечивающие функционирование автоматизированной информационной системы, должны быть проинструктированы относительно технических характеристик системы, средств ее защиты и правил эксплуатации и контроля.

    Обязанности по информированию и инструктажу персонала лежат на работодателе.
    3.2.3. Организационные меры защиты персональных данных
    Это комплекс мер, направленных на создание фактических условий для работы с персональными данными в организации, позволяющих обеспечить их конфиденциальность. Работодатель должен обеспечить режим безопасности и охрану помещений, в которых ведется работа с персональными данными, а также обеспечивать сохранность носителей персональных данных и средств защиты информации таким образом, чтобы исключить возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

    Персональные данные могут храниться как на бумажных (журналы учета командировок, личные карточки), так и на электронных носителях. Различные носители персональных данных требуют различных подходов к их охране.

    Закон о персональных данных требует от работодателя раздельного хранения материальных носителей персональных данных, собранных для различных целей. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Поэтому прежде всего нужно выделить изолированное помещение, предназначенное для работы с персональными данными, оснащенное всеми необходимыми техническими средствами: компьютером, ксероксом, сканером. Если такой возможности нет, то сотрудники во время работы с персональными данными должны соблюдать ряд нехитрых правил: не оставлять без присмотра на столе соответствующие документы, убирать их после работы в запирающиеся шкафы, не допускать посторонних в помещение во время работы с персональными данными.

    В любой организации есть работники, которые постоянно обрабатывают персональные данные (кадровики), а есть те, которым персональные данные требуются лишь для выполнения разовых функций (заполнения договора). Для контроля за последними должен вестись специальный журнал учета, в котором фиксируются вид персональных данных или документа, их содержащего, дата, основание и ФИО сотрудника, работавшего с персональными данными. Вести журнал должно ответственное за защиту персональных данных в организации лицо. Периодически нужно проводить проверки соблюдения правил хранения и учета персональных данных. Носители персональных данных бывших работников должны храниться отдельно в течение срока, установленного Положением о персональных данных, а затем уничтожаться.
    3.2.4. Технические меры защиты персональных данных
    Комплекс этих мер обеспечивает защиту персональных данных в автоматизированных информационных системах и каналах передачи данных через телекоммуникационные сети.

    Электронные носители персональных данных - базы данных, содержащие персональные данные работников организации, - хранятся на электронных носителях, которые обрабатываются техническими средствами. Согласно упомянутому Постановлению Правительства РФ от 01 ноября 2012 г. № 1119 это средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах. Работодатель должен обеспечить контроль за исправной работой этих средств.

    Для обеспечения безопасности работодатель должен, во-первых, классифицировать информационную систему в зависимости от объема обрабатываемых персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Целью классификации является определение адекватных методов и средств защиты для содержащихся в системе данных. Решение о присвоении того или иного класса системы определяет сам оператор (работодатель). Пересмотреть решение имеет право Роскомнадзор. Затем, в зависимости от присвоенного класса, работодатель на основе нормативно-методических документов ФСТЭК определяет мероприятия по защите используемых персональных данных.

    В-третьих, работодатель должен обеспечить в информационной системе следующие возможности:

    а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

    б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

    в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

    г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

    д) постоянный контроль за обеспечением уровня защищенности персональных данных.

    Помимо всего этого работодателю нельзя забывать об общих правилах сбора и обработки персональных данных, установленных в гл. 14 ТК РФ.

    Так, все персональные данные работника должны быть получены у него самого (а если персональные данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие). При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. В данном положении главным является то, что именно работник как субъект персональных данных должен принимать решение относительно возможной передачи своих строго определенных персональных данных от третьего лица к работодателю. Истребование необходимой информации без соответствующего согласия, равно как и истребование какой-либо информации сверх той, что оговорена в письменном согласии, является основанием для применения мер дисциплинарной ответственности к работнику, осуществляющему сбор персональных данных, или административной ответственности - к работодателю.

    По общему правилу работодатель не имеет права собирать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. Эти запреты, установленные в п. п. 4 - 5 ст. 86 ТК РФ, позволяют обеспечить защиту работника от возможной дискриминации по признаку религиозных, политических или иных убеждений, принадлежности к общественным объединениям и т.д.

    Решения, затрагивающие права и интересы работника, не могут приниматься работодателем на основании исключительно автоматизированной обработки его персональных данных. Данная норма предупреждает принятие необоснованных решений, нарушающих права и интересы работника, основанных исключительно на информации, почерпнутой из автоматизированных систем, так как такая "обезличенная" информация может содержать неточности и ошибки. Если тем не менее работодателем принимается решение на основании исключительно автоматизированной обработки его персональных данных, то при нарушении прав и интересов работника такое решение может быть им обжаловано. Одновременно работник вправе потребовать: а) исключения или исправления неверных или неполных персональных данных; б) если они были кому-либо сообщены, - известить этих лиц обо всех произведенных в них исключениях, исправлениях или дополнениях. При отказе работодателя исключить или исправить персональные данные работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.

    Порядок хранения и использования персональных данных работников должен устанавливаться работодателем с учетом требований ст. 86, ст. ст. 88 - 90 ТК РФ и отвечать целям защиты. Этот порядок конкретизируется в ряде специальных законов, регламентирующих деятельность различных органов и организаций применительно к персональным данным работающих в них работников. Например, в ст. 41.2 Федерального закона от 17 января 1992 г. N 2202-1 "О прокуратуре Российской Федерации" установлено, что порядок ведения личного дела прокурорского работника, содержащего сведения об указанном работнике, о прохождении им службы в органах и учреждениях прокуратуры, повышении квалификации, устанавливается Генеральным прокурором РФ [22].

    Обязанность по обеспечению защиты персональных данных работника от неправомерного их использования или утраты возлагается на работодателя в силу того факта, что он является лицом, ответственным за получение, хранение, комбинирование, передачу и любое другое использование персональных данных работника, т.е. лицом, в соответствии с законом производящим обработку этих данных. В связи с этим работодатель обязан принять все меры по обеспечению сохранности персональных данных, их недоступности для третьих лиц без предварительного разрешения работника.

    Установленное в ст. 86 ТК РФ правило об обязательном ознакомлении работников и их представителей с соответствующими документами организации, отражающими порядок обработки персональных данных, их права и обязанности, позволяет облегчить реализацию гарантированного права работника на доступ к полной информации о персональных данных и их обработке, а также права представителей работника на доступ к той информации, которая необходима им для защиты интересов работника. Это также дает возможность работнику вовремя обжаловать неправомерные действия, допущенные работодателем в отношении использования персональных данных работника.

    Согласно ст. 89 ТК РФ в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на полную информацию об их персональных данных и обработке этих данных; свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом; определение своих представителей для защиты своих персональных данных; доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору; требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ; требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; обжалование в суд любых неправомерных действий или бездействия работодателя. Все эти права работника помогают ему осуществлять контроль за обеспечением конфиденциальности его персональных данных и за соблюдением правил их обработки.


    3.3. Применение мер дисциплинарной ответственности
    Дисциплинарная ответственность как вид юридической ответственности применяется к работникам в рамках трудовых отношений согласно правилам ТК РФ и, как специализированный вид ответственности, к государственным служащим в соответствии с законодательством о государственной службе. Порядок применения мер ответственности в обоих случаях имеет много общего.

    В трудовых отношениях, как и в служебных (под служебными отношениями мы в данном случае понимаем отношения, складывающиеся в сфере государственной службы и регулируемые специальным законодательством) основанием для применения дисциплинарной ответственности выступает совершение работником (государственным служащим) дисциплинарного проступка, т.е. виновного неисполнения или ненадлежащего исполнения трудовых (служебных) обязанностей. Меры дисциплинарной ответственности применяются в случае совершения деяния, не причиняющего существенного вреда и не являющегося общественно опасным. Если же совершенное деяние повлекло за собой общественно опасные последствия и существенный материальный вред, могут быть применены другие меры юридической ответственности в соответствии с законодательством.

    В рамках отношений государственной службы порядок обработки персональных данных государственных служащих регулируется гл. 7 Федерального закона "О государственной гражданской службе".

    В трудовых отношениях меры дисциплинарной ответственности за нарушение правил обработки персональных данных могут быть применены к работнику только в том случае, если обработка персональных данных являлась трудовой функцией этого работника и была закреплена в трудовом договоре этого работника, его должностной инструкции, иных локальных нормативных актах, а перед вступлением в должность работник был ознакомлен под расписку с этими документами, а также с документами, устанавливающими порядок работы с персональными данными. В противном случае работник будет считаться невиновным, а ответственность за соответствующее правонарушение будет возложена на работодателя как не обеспечившего необходимую охрану персональных данных.

    В случае же вины работника он может быть подвергнут дисциплинарному взысканию. Виды взысканий установлены в ст. 192 ТК РФ - это замечание, выговор или увольнение. Подпункт "в" п. 6 ст. 81 ТК РФ наделяет работодателя правом расторжения трудового договора по своей инициативе при разглашении работником охраняемой законом тайны, ставшей ему известной в связи с исполнением им трудовых обязанностей. Таким образом, за разглашение персональных данных работник может быть уволен.

    Необходимо подчеркнуть, что поскольку применение мер дисциплинарной ответственности является правом (а не обязанностью) работодателя, именно от него зависит, насколько эффективно будет использоваться эта мера ответственности. Ведь конкретные составы проступков в законе не определены. Они устанавливаются на основе норм ТК РФ, трудового договора работника и документов локального нормативного регулирования. Можно сказать, что именно в этом и видится основная проблема применения данного вида ответственности. Российские работодатели традиционно не уделяют достаточно внимания внутреннему нормативному регулированию деятельности организации, что применительно к защите персональных данных работников может обернуться многочисленными нарушениями действующего законодательства.
    1   2   3

    написать администратору сайта