Для решения вопроса об обязательности разработки, принятия и утверждения специализированного локального акта и включения положений о защите персональных данных в иные документы организации необходимо руководствоваться нормами закона. Трудовой кодекс РФ не обязывает работодателя принимать локальные акты исключительно по причине законодательных требований. Обязанность по рассмотрению работодателем проекта локального акта возникает в случае его предъявления работниками в лице своих представителей. Буквальное толкование содержания п. 8 ст. 86 ТК РФ говорит об обязательности ознакомления работника под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а не требовании законодателя к каждому работодателю принимать соответствующие акты.
Для разработки и принятия указанного локального акта может существовать несколько причин. Сами работники в лице своих представителей могут инициировать принятие документа в целях защиты своего права на неприкосновенность частной жизни.
Существуют и иные предпосылки для разработки и утверждения локальных нормативных актов организации о защите персональных данных работников. Очевидно, что подход к охране конфиденциальных сведений должен быть системным. При наличии в организации делопроизводства с ограниченным доступом работодателю удобнее защищать все информационное пространство как единое целое.
С точки зрения воспитательной функции локального нормотворчества принятие данных актов позволяет работодателю продемонстрировать работникам свою заботу о соблюдении не только их социальных, но и личных прав. В законодательных актах существуют требования к оформлению документации по личному составу. Работодателю необходимо отразить их с учетом особенностей организации в локальных нормативных документах.
Охрана персональных данных работника осуществляется не только в локальных нормативных актах. Значительная часть отношений по защите персональных данных регулируется в договорном порядке. Организации заключают договоры и соглашения о передаче персональных данных на законных основаниях третьим лицам (в отделения Пенсионного фонда РФ, военные комиссариаты, налоговые инспекции и др.), о защите передаваемой информации средствами криптографии и шифрования и др. Отдельные условия о защите конфиденциальной информации находят отражение в трудовых договорах.
2 Организационно-правовые меры защиты персональных данных работников
2.1 Нормативно-правовое регулирование обработки персональных данных работников
Трудовые информационные правоотношения по защите персональных данных работника – это охранительные по своей природе отношения. Этот вывод является следствием публично-правового характера трудового права. В современной отечественной юридической науке наибольшее распространение получила точка зрения на охранительные правоотношения как на разновидность общественных отношений, возникающих в связи с необходимостью проведения мероприятий профилактического характера, разрешения конфликтных ситуаций, определения меры ответственности за совершенное нарушение.
Персональные данные работника органически включены в систему персональных данных лица, составляют отдельное правовое образование – институт трудового права, носят информационный характер, подлежат комплексной правовой защите всеми способами и средствами, установленными для защиты государственной тайны и конфиденциальной информации[84].
Согласно ст. 85 ТК РФ, персональные данные – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Федеральной закон от 27.07.2006г. №152-ФЗ «О персональных данных» дает более развернутое определение: персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Персональные данные отнесены Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.97 № 188[85], к категории конфиденциальной информации, т.е. работодатель обязан обеспечивать конфиденциальность таких данных - соблюдение лицом, получившим доступ к персональным данным, требования о недопустимости их распространения без согласия субъекта персональных данных или иного законного основания. Обеспечение конфиденциальности не требуется в следующих случаях:
- обезличивания персональных данных (совершения действий, в результате которых невозможно определить принадлежность персональных данных конкретному работнику);
- в отношении общедоступных персональных данных, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
В связи с заключением трудового договора работодателю необходимо получить от работника персональные данные, подтвержденные документами, перечисленными в ст. 65 ТК РФ. В некоторых случаях законодательство расширяет перечень персональных данных, необходимых работодателю в связи с трудовыми отношениями. К ним относятся данные о медицинских освидетельствованиях, о наличии у работника двух и более иждивенцев (при решении вопроса о преимущественном праве оставления на работе) и некоторые другие.
Обработка персональных данных представляет собой получение, хранение, комбинирование, передача или любое другое использование персональных данных работника, где использование - действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работника или других лиц либо иным образом затрагивающих права и свободы работника или других лиц. Кроме перечисленных ст. 85 ТК РФ действий, Федеральный закон «О персональных данных» включает в понятие обработки персональных данных также систематизацию, накопление, уточнение (обновление, изменение), распространение, обезличивание, блокирование и уничтожение персональных данных.
Передача персональных данных - понятие более узкое, нежели распространение персональных данных, поскольку под передачей понимаются действия, направленные на передачу персональных данных определенному кругу лиц, а под распространением - ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Под блокированием персональных данных подразумевается временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных представляет собой действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
При обработке персональных данных работодатель обязан соблюдать основные принципы, установленные законодательством:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям работодателя;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Все необходимые работодателю персональные данные работника следует получать у него самого. Если же персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Уведомление работника о необходимости получения его персональных данных у третьей стороны должно содержать информацию о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Законодательством установлен запрет на обработку персональных данных о политических, религиозных и иных убеждениях работника, его членстве в общественных объединениях. Данный запрет не преодолевается даже письменным согласием работника на обработку указанных данных. Данные о частной жизни работника обрабатываются работодателем только в связи с трудовыми отношениями и исключительно на основании письменного согласия работника. К таким данным, в частности, могут быть отнесены сведения о семейном положении, наличии детей-инвалидов, другие сведения, с которыми связаны определенные юридические последствия для работника и работодателя[86].
Сведения о профсоюзной деятельности работника, в силу требований ст. 82 ТК РФ и некоторых других статей Кодекса, необходимы работодателю для соблюдения установленного законодательством порядка увольнения работника, являющегося членом профсоюза, а также в ряде других случаев.