В отношении государственных гражданских служащих действует Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела, утвержденное Указом Президента РФ N 609 от 30 мая 2005 г.
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса
Российской Федерации и иных федеральных законов.
На основании ст. 8 и ч. 1 ст. 22 ТК РФ работодатель имеет право принимать в пределах своей компетенции локальные нормативные акты, содержащие, в том числе, нормы о порядке хранения и использования информации о персональных данных работников.
Персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или чем это требуется в интересах лиц, о которых собраны данные.
Работу по хранению и использованию персональных данных работника осуществляют лица, состоящие с работодателем в трудовых отношениях (сотрудники кадровых, бухгалтерских и иных служб). Особое место среди них занимают операторы по сбору и обработке персональных данных: обязанности данной категории работников изложены в главе 4 ФЗ "О персональных данных". Поэтому к числу мер по охране персональных данных относится и установление конкретных обязанностей этих работников по обеспечению конфиденциальности информации, относящейся к охраняемой законом тайне. Соответствующее условие должно быть включено в трудовой договор с работником, обрабатывающим персональные данные иных работников. На работодателя возлагается обязанность создавать условия, обеспечивающие исполнение работником своих должностных функций по защите охраняемой законом тайны. В частности, работодатель обязан создать технические условия охраны персональных данных работников от их неправомерного использования (особый режим доступа в помещение, где хранится соответствующая информация, оборудование мест ее хранения, исключающее несанкционированный доступ к информации, и т.п.).
Использование работодателем персональных данных работника осуществляется исключительно в целях обеспечения соблюдения требований законодательства, трудовых прав работника и его личной безопасности, ведения контроля количества и качества выполняемой работы, обеспечения сохранности имущества.
3. Передача персональных данных
Статья 88 регламентирует порядок передачи (или ее невозможности) работодателем персональных данных работника. В частности, работодателю запрещается сообщать персональные данные работника без его письменного
согласия:
- третьей стороне (исключение составляют сведения, касающиеся угрозы жизни и здоровью работника, например, вследствие аварийной ситуации, профессионального отравления и т.п.);
- в коммерческих целях.
Лица, имеющие доступ к персональным данным работника (например, работники отдела кадров), обязаны соблюдать режим секретности (конфиденциальности), причем они должны быть предупреждены (в т.ч. путем записи в должностной инструкции) о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной их утраты, от несанкционированного доступа к ним, изменения или распространения.
Имеющаяся персональная информация о работнике может быть предоставлена руководителям служб и подразделений организации только в пределах компетенции этих лиц, для чего необходимо принятие локального нормативного акта, например, положения.
Установленное статьей 88 правило о получении данными лицами только тех персональных данных, которые им необходимы для выполнения конкретных функций, трудно реализуемо на практике. Персональные данные работника собираются в его личном деле, не подлежат дроблению и в принципе доступны для ознакомления лицом, осуществляющим надзорно-контрольные функции в полном объеме. Исполнить требования закона возможно при четкой работе с лицами, осуществляющими функции надзора и контроля за соблюдением законодательства о труде работниками, занятыми у конкретного работодателя, трудовой функцией которых является работа с персональными данными.
В то же время, получателями персональных данных работника на законном основании являются: ФСС России; ПФР; налоговые органы; иные органы государственного надзора и контроля за соблюдением законодательства о труде; органы исполнительной власти, профессиональные союзы, участвующие в расследовании несчастных случаев на производстве.
Возможность трансграничной передачи персональных данных предусмотрена ст. 12 ФЗ "О персональных данных".
Работодатель не имеет права запрашивать информацию о состоянии здоровья работников, за исключением случаев, когда существует необходимость получения таких сведений, связанных с выполнением работником своих трудовых функций. Например, это возможно для решения вопроса о переводе на другую работу, исключающую воздействие неблагоприятных факторов, беременной женщины. В случае расторжения трудового договора по инициативе работодателя на основании ст. 81 ТК РФ работодатель передает на работника (члена профсоюза) соответствующему профсоюзному органу следующие данные: проект приказа, копии документов, которые являются основанием для увольнения.
Профсоюз как представитель работников может исполнять социальные функции, определяемые его уставом. Для исполнения этих функций профсоюз должен обладать информацией о круге иждивенцев работника, о необходимости специализированного лечения работника и другом. Поскольку предоставление такой информации, в отличие от информации, необходимой для ведения коллективных переговоров, не обусловлено федеральным законом, она предоставляется с письменного согласия работника.
4. Права работников в целях обеспечения защиты персональных данных
Конвенция Совета Европы "О защите личности в связи с автоматической обработкой персональных данных" от 28 января 1981 г. предусматривает предоставление любому лицу следующих прав в области защиты персональных данных:
а) быть осведомленным о существовании базы персональных данных и ее главных целях;
б) периодически и без излишних затрат времени или средств обращаться с запросом о том, накапливаются ли в базе данных касающиеся его персональные данные, и получать информацию о таких данных в доступной форме;
в) требовать уточнения или уничтожения данных, обработанных с нарушением положений национального права;
г) прибегнуть к судебной защите нарушенного права, если его запрос или требование о предоставлении информации, уточнении или уничтожении данных не были удовлетворены.
В соответствии со статьей 89 Трудового кодекса Российской Федерации работники имеют право на:
1) полную информацию об их персональных данных и обработке этих данных. Право работника на полную информацию о персональных данных и об их обработке обеспечивается обязанностью работодателя ознакомить работника с документами о порядке обработки персональных данных работников, а также с правами и обязанностями в области защиты персональных данных. Так, в соответствии с п. 12 Правил ведения и хранения трудовых книжек, работодатель обязан ознакомить работника с каждой вносимой в трудовую книжку записью о выполняемой работе, переводе на другую постоянную работу и увольнении под роспись в его личной карточке.
2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
3) определение своих представителей для защиты своих персональных данных;
4) доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
Информация, содержащаяся в медицинских документах работника, составляет врачебную тайну и может представляться без его согласия только по основаниям, предусмотренным статьями 31 и 61 Основ законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 г. N 5487-I. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:
- в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
- при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
- по запросу органов дознания и следствия, прокурора и суда в связи с проведением расследования или судебным разбирательством;
- при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий.
Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством.
5) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
6) требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;