Защита персональных данных работников

В случае необходимости перераспределения  обязанностей среди работников отдела (например, при болезни одного из них) издается соответствующее распоряжение начальника отдела кадров, в котором регламентируется характер изменений, их срок и дополнения к документам, делам и базам данных. Следует соблюдать следующие особенности обработки и хранения документов. Приказы по личному составу составляются, оформляются и хранятся в отделе кадров, а не в делопроизводственной службе. Материалы, связанные с анкетированием, тестированием, проведением собеседований  с кандидатами на должность, помещаются не в личное дело сотрудника, а в специальное дело с грифом «Строго конфиденциально». Объясняется это тем, что подобные материалы раскрывают личные и моральные качества сотрудника и могут при разглашении содержащихся в них сведений стать полезными злоумышленнику.      

Приказом  первого руководителя предприятия  должен быть установлен порядок выдачи и ознакомления руководящего состава с личными делами сотрудников. Личные дела могут выдаваться только на рабочие места первого руководителя предприятия, его заместителя по кадрам и начальника отдела (управления) кадров. Дела выдаются (в том числе начальнику отдела кадров или при наличии письменного разрешения – работнику отдела) под роспись в контрольной карточке. При возврате дела тщательно проверяется сохранность документов, отсутствие повреждений и включений в дело других документов или их подмены. Просмотр дела производится в присутствии руководителя. Передача личных дел руководителям через их секретарей или референтов не допускается.

Другие руководители предприятия могут знакомиться  с личными делами (или при  отсутствии личных дел – карточками формы Т-2 (Приложение 1)) только непосредственно подчиненных им сотрудников; к справочно-информационному банку данных и другой документации отдела кадров они не допускаются. Ознакомление с делами осуществляется в помещении отдела кадров под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется контрольной карточке личного дела. Работник предприятия вправе ознакомиться только со своим личным делом и трудовой книжкой, учетными карточками, отражающими его персональные данные. Факт ознакомления с личным делом также фиксируется в контрольной карточке.

Не допускается, чтобы  работник отдела кадров мог знакомиться  с любыми документами и материалами  отдела. Целесообразно, чтобы каждый из них был закреплен за определенной группой персонала предприятия  и выполнял весь объем функций  от подбора кандидата на вакантную должность до хранения документации.

В случае необходимости  перераспределения обязанностей среди  работников отдела (например, при болезни  одного из них) издается соответствующее  распоряжение начальника отдела кадров, в котором регламентируется характер изменений, их срок и дополнения к документам, делам и базам данных.

Операции по оформлению, формированию, ведению и хранению личных дел выполняются одним  работником отдела кадров, который  несет личную ответственность за сохранность документов в делах и доступ к делам других работников.

Не менее строгого контроля требует работа со справочно-информационным банком данных по персоналу предприятия (карточками, журналами и книгами  персонального учета сотрудников).

Отчетная и справочная работа отдела формирует каналы несанкционированного получения и незаконного использования персональных данных. В связи с этим первым руководителем устанавливается: кто, когда, какие сведения и с какой целью может запрашивать в отделе кадров. И, что особенно важно – определяется порядок дальнейшего хранения сведений, работа с которыми закончена: где эти сведения будут находиться, кто несет ответственность за их сохранность и конфиденциальность.

На документах, выходящих  за пределы отдела кадров, может  ставиться гриф «конфиденциально» или «для служебного пользования». В отделе кадров обязательно остаются копии всех отчетных и справочных документов. Целесообразно, чтобы подлинники этих документов после минования в них надобности возвращались в от дел кадров для включения в дело вместо хранящейся там копии.

В структурных подразделениях предприятия могут быть следующие  документы, содержащие персональные данные:

- журнал табельного  учета с указанием должностей, фамилий и инициалов сотрудников  (находится у работника, ведущего табельный учет, - табельщика),

- штатное расписание (штатный формуляр) подразделения,  в котором может дополнительно  указываться, кто из сотрудников  занимает ту или иную должность,  вакантные должности (находится  у руководителя подразделения),

- дело с выписками из приказов по личному составу, касающимися персонала под разделения (находится у табельщика).

На столе работника, ведущего прием, не должно быть никаких  документов, кроме тех, которые касаются данного посетителя. Ответы на вопросы  даются только лично тому лицу, которого они касаются. Не допускается отвечать на вопросы, связанные с передачей персональной информации, по телефону или факсу. Ответы на правомерные письменные запросы других учреждений и организаций даются в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений.

Иными словами, порядок  функционирования отдела кадров должен быть подчинен решению задач обеспечения  безопасности персональных сведений, их защиты от разного рода злоумышленников.

Как показывает опыт, применение только административных мер не гарантирует полноценную охрану конфиденциальных сведений. Надежность защиты зависит во многом от расстановки и внутрифирменного развития сотрудников. Кроме того, персонал - один из главных каналов утечки информации. Деятельность кадровой службы должна быть направлена на воспитание работников, допущенных к работе с персональными данными, выработку навыков работы с носителями конфиденциальной информации, закрытие бытовых каналов утечки данных. Здесь могут быть полезны индивидуальная беседа, предупреждение об ответственности, разъяснение юридических последствий разглашения информации.

В соответствии с действующим  законодательством предусмотрено  несколько видов ответственности  за нарушение норм в области защиты персональных данных (гражданско-правовая, материальная, дисциплинарная, административная и уголовная).

Материальная  ответственность работника за разглашение  сведений, относящихся к персональным данным других работников, возлагается  на него в полном размере причиненного ущерба (п. 7 ст. 243 ТК РФ). Случаи полной материальной ответственности являются исключениями из общего правила, что подтверждает особое значение института защиты персональных данных работников в отечественном трудовом праве.

Дисциплинарная ответственность в виде увольнения наступает для работника, разгласившего охраняемую законом тайну (в том числе персональные данные другого работника). Однако необходимо, чтобы эти сведения стали известны работнику в связи с исполнением им своих трудовых обязанностей (поди, «в» п. 6 ст. 81 ТК РФ). В соответствии со ст. 192 ТК РФ привлечение работника, совершившего дисциплинарный проступок, является правом, а не обязанностью работодателя. При наложении дисциплинарного взыскания работодатель должен учесть тяжесть совершенного проступка и обстоятельства, при которых он был совершен. Поэтому вместо увольнения работодатель вправе наложить на виновное лицо взыскание в виде замечания или выговора.

Административная  ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 0,3 тыс. до 0,5 тыс. руб.; на должностных лиц — от 0,5 тыс. до 1 тыс. руб.; на юридических лиц — от 5 тыс. до 10 тыс. руб. (ст. 13.11 Кодекса РФ об административных правонарушениях[6].)  

Необходимо  подчеркнуть, что поскольку применение мер дисциплинарной ответственности  является правом (а не обязанностью) работодателя, именно от него зависит, насколько эффективно будет использоваться эта мера ответственности. Ведь конкретные составы проступков в законе не определены. Они устанавливаются на основе норм ТК РФ, трудового договора работника и документов локального нормативного регулирования. Можно сказать, что именно в этом и видится основная проблема применения данного вида ответственности. Работодателям следует обратить внимание на ст. 10 Закона о персональных данных, в соответствии с которой при обработке специальных категорий персональных данных требуется получать у субъекта персональных данных письменное согласие на обработку таких персональных данных. Российские работодатели традиционно не уделяют достаточно внимания внутреннему нормативному регулированию деятельности организации, что применительно к защите персональных данных работников может обернуться многочисленными нарушениями действующего законодательства. Ситуация усугубляется еще и тем, что применение мер дисциплинарной ответственности является внутренним делом работодателя, и для того чтобы применить взыскание к недисциплинированному работнику, требуется как минимум дисциплинированный работодатель.

Библиографический список

1. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 25.07.2011) «О персональных данных» // ИПС «Консультант Плюс»

2. Трудовой кодекс Российской Федерации» от 30.12.2001 № 197-ФЗ (ред. от 23.04.2012) (с изм. и доп., вступающими в силу с 01.07.2012) // ИПС «Консультант Плюс»

3. Лютов Н.Л. Российское трудовое законодательство и международные трудовые стандарты: соответствие и перспективы совершенствования: научно-практическое пособие. М.: Центр социально-трудовых прав, 2012. 128 с.

4. Овсянникова Е. Насколько эффективна защита персональных данных работников? // Трудовое право. 2013. № 2. С. 91 - 102; Делопроизводство. 2013. № 1. С. 75 - 80.

5. Петрыкина Н.И. Правовое регулирование оборота персональных данных. Теория и практика. М.: Статут, 2011. 134 с.

6. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 08.06.2012, с изм. от 14.06.2012) (с изм. и доп., вступающими в силу с 02.07.2012) // ИПС «Консультант Плюс»