Защита персональных данных работника

1.12. В случае изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью работника Отдела. Замена документов в личном деле кем бы то ни было запрещается. Новые, исправленные документы помещаются вместе с ранее подшитыми.

1.13. Личные дела могут выдаваться на рабочие места Директора Общества, начальника Отдела и инспектора по кадрам. Передача личных дел руководителям через секретаря не допускается. Другие руководители Общества могут знакомиться с личными делами подчиненных им сотрудников в помещении Отдела под наблюдением работника, ответственного за сохранность и ведение личных дел. Сотрудник Общества имеет право знакомиться только со своим личным делом и трудовой книжкой, учетными карточками, отражающими его персональные данные.

1.14. При возврате дела тщательно проверяется сохранность документов, отсутствия повреждений, включения в дело других документов или подмены документов. Просмотр дела производится в присутствии руководителя.

1.15. Трудовые книжки всегда хранятся отдельно от личных дел в закрытом сейфе.

1.16. Строгому контролю подлежит также работа со справочно-информационным банком данных по персоналу Общества.

1.17. На документах, выходящих за пределы Отдела, может ставиться гриф «Конфиденциально» или «Для служебного пользования». В Отделе обязательно остаются копии всех отчетных и справочных документов.

1.18. В структурных подразделениях Общества могут быть следующие документы, содержащие ПДР: журнал табельного учета с указанием должностей, фамилий, инициалов сотрудников (находится у работника, ведущего табельный учет, табельщика), штатное расписание (штатный формуляр) подразделения, в котором дополнительно может указываться, кто из сотрудников занимает ту или иную должность, вакантные должности (находится у руководителя подразделения), дело с выписками из приказов по личному составу, касающимися подразделения. Руководитель подразделения может иметь список сотрудников с указанием основных биографических данных каждого из них (год рождения, местожительство, домашний телефон и т.п.). Все перечисленные документы следует хранить в соответствующих делах, включенных в номенклатуру дел, имеющих гриф ограничения доступа.

Условия сбора  и обработки персональных данных.

1. Обработка персональных  данных может осуществляться оператором при наличии хотя бы одного из следующих условий:

1) субъект персональных  данных дал свое согласие на  ее проведение;

2) персональные данные  обрабатываются на основании  закона, предусматривающего такую обработку, устанавливающего ее цель, условия получения персональных данных и субъектов, персональные данные которых подлежат обработке;

3) персональные данные  обрабатываются для статистических  целей с их обязательным обезличиванием;

4) обработка персональных  данных необходима для защиты жизни и здоровья субъекта персональных данных;

5) обрабатываемые персональные  данные относятся к общедоступной  информации.

2. Обработка персональных  данных должна осуществляться  собственником информационной системы персональных данных. Собственник информационной системы персональных данных вправе на основании договора поручить обработку персональных данных оператору при условии обеспечения конфиденциальности персональных данных, подвергающихся обработке. Требование о конфиденциальности персональных данных является условием договора об оказании услуг по обработке персональных данных⁴.

2. Общие требования при обработке ПДР.

В целях обеспечения  прав и свобод человека и гражданина работодатель и его представители при обработке ПДР обязаны соблюдать следующие требования:

2.1. Обработка ПДР может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2.2. При определении объема и содержания обрабатываемых ПДР работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными ФЗ.

2.3. Все ПДР следует получать от самого работника. Если ПДР можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

2.4. Работодатель не имеет права получать и обрабатывать ПДР о его политических, религиозных и иных убеждениях и частной жизни. В случаях, связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

2.5. Работодатель не имеет права получать и обрабатывать ПДР о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

2.6. Персональные данные не могут быть использованы в целях причинения имущественного или морального вреда гражданам, затруднения реализации прав и граждан РФ.

2.7. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПДР, полученных исключительно в результате их автоматизированной обработки или электронного получения.

2.8. Защита ПДР от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ФЗ.

2.9. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки ПДР, а также об их правах и обязанных в этой области.

2.10. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

2.11. Работодатели, работники и их представители должны совместно вырабатывать меры защиты ПДР.⁵

3.Передача  ПДР

При передаче ПДР работодатель должен соблюдать следующие требования:

3.1. Не сообщать ПДР третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных федеральным законом.

3.2. Не сообщать ПДР в коммерческих целях без его письменного согласия.

3.3. Предупредить лиц, получающих ПДР, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДР, обязаны соблюдать режим секретности (конфиденциальности).

3.4. Осуществлять передачу ПДР в пределах Общества в соответствии с локальными нормативными актами, с которыми работник должен быть ознакомлен под расписку.

3.5. Передаваемые руководителям отчетные и справочные сведения обязательно документируются в виде сводок, справок и т.п. Устное сообщение сведений, как правило, использоваться не должно, за исключением случаев, когда запрашивается единичная информация (дата рождения сотрудника, какой вуз окончил и т.п.).

3.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.⁶

3. Ответственность  за нарушение норм, регулирующих  обработку и      защиту персональных данных работника.

Статья 90 ТК РФ предусматривает  ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может нести дисциплинарную, административную, гражданско-правовую и уголовную ответственность.

Уголовная ответственность

Самая строгая. Статья 137 УК РФ предусматривает наказание за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну. Уголовная ответственность грозит в том случае, если эти действия совершены намеренно, из корыстной или иной личной заинтересованности и повлекли за собой нарушение законных прав и свобод граждан. Причем наказание ужесточается, если виновный использовал свое служебное положение.

Нарушение неприкосновенности частной жизни (ст. 137 УК) может выражаться в:

а) незаконном собирании сведений о частной жизни;

б) незаконном их распространении;

в) незаконном их распространении  в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

 Закон не связывает  ответственность за незаконное  распространение сведений о частной жизни лица с конкретным способом распространения. Под распространением имеется в виду любая незаконная передача указанных сведений третьим лицам. Незаконным распространением является разглашение личной или семейной тайны лицом, обязанным ее хранить в силу своей профессии.

Обязательным элементом  объективной стороны преступления, предусмотренного ст. 137 УК, является причинение вреда правам и законным интересам граждан. Характер вреда закон не ограничивает. Он может быть:

а) материальным (имущественным), например потеря хорошо оплачиваемой работы, срыв выгодной сделки, иные убытки в предпринимательской деятельности;

б) физическим (телесным), например заболевание от пережитого;

в) моральным, например распад семьи, подрыв репутации.

Установление наличия вреда правам и законным интересам потерпевшего производится в каждом конкретном случае с учетом индивидуальных особенностей личности и ситуации.

Нарушение неприкосновенности частной жизни считается оконченным преступлением только с момента причинения соответствующего вреда (материальный состав).

Субъективная сторона  данного преступления характеризуется  прямым умыслом. Ответственность по ч. 1 ст. 137 УК несет любое физическое вменяемое лицо, достигшее 16 лет (общий субъект), а по ч. 2 ст. 137 УК - должностное лицо либо служащий государственного или муниципального учреждения, использующий для совершения преступления свое служебное положение (специальный субъект).⁷

Административная ответственность

Административные штрафы. Нарушение правил работы с персональными данными может повлечь административную ответственность работодателя или его представителей. Кодекс РФ об административных правонарушениях содержит на этот счет две статьи.

Статья 13.11 предусматривает  ответственность в виде предупреждения или наложения штрафа на работодателя за нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Вина в совершении данного правонарушения может быть как умышленной, так и неосторожной.⁸

Ввиду того, что персональные данные - один из видов охраняемой законом тайны, защита ее конфиденциальности предусмотрена также статьей 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило сведения, составляющие персональные данные.

Вина в совершении данного правонарушения может быть как умышленной, так и неосторожной.

Дисциплинарная  ответственность

Дисциплинарная ответственность  кадровика. В отношении сотрудника-кадровика работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных статьей 192 Трудового кодекса РФ: замечание, выговор, увольнение.

Как и любое другое правонарушение, дисциплинарный проступок  обладает совокупностью признаков: субъект, субъективная сторона, объект, объективная сторона.

Субъектом дисциплинарного  проступка может быть гражданин, состоящий в трудовых правоотношениях с конкретной организацией и нарушающий трудовую дисциплину. Субъективной стороной дисциплинарного проступка выступает вина со стороны работника. Может быть в форме умысла или по неосторожности. Объект дисциплинарного проступка - внутренний трудовой распорядок конкретной организации. Объективной стороной здесь выступают вредные последствия и прямая связь между ними и действием (бездействием) правонарушителя.

В соответствии с заключенным  трудовым договором работодатель вправе требовать от работника выполнения трудовых обязанностей. Согласно ст. 192 Кодекса работодатель имеет право, но не обязан привлекать к дисциплинарной ответственности работника, совершившего дисциплинарный проступок. Разглашение может быть совершено среди коллег, знакомых, родственников и других лиц, не имеющих законного доступа к ним. Кроме разглашения основными видами нарушений правил работы с персональными данными являются незаконное получение или использование сведений, составляющих персональные данные, и утрата материальных носителей, содержащих данную информацию. Увольнение работника может быть осуществлено только за разглашение персональных данных.