Защита персональных данных работника

Одним из таких локальных нормативно-правовых актов является Положение о персональных данных. Положение определяет основные требования к порядку получения, хранения, комбинирования, передачи или любого другого использования персональных данных работника в связи с трудовыми отношениями в организации.

Разработка и использование эффективной системы обеспечения безопасности персональных данных работников является одной из важных частей системы управления безопасностью персонала, системы охраны жизни и здоровья работников.

Основным документом, регламентирующим отношения между работодателем и работником, является трудовой договор, при заключении которого следует учитывать положения Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Он вступил в силу с 1 января 2007 года и регулирует отношения в области сбора, изменения и передачи сведений федеральными органами государственной власти РФ и ее субъектов, а также юридическими и физическими лицами с использованием средств автоматизации и без них. Цель этого закона - защита прав и свобод человека при обработке его персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.

Согласно ст. 2 Закона о персональных данных любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе:

-фамилия, имя, отчество;

-год, месяц, дата и место  рождения;

-адрес;

-семейное, социальное, имущественное  положение;

-образование;

-профессия;

-доходы и другая информация, признаются персональными данными.

Этот перечень не является закрытым - в него можно включить практически все сведения о работнике, которые получает работодатель.

Помимо этого ст. 10 и 11 Закона о персональных данных установлены специальные данные, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения. Это информация, касающаяся:

-расовой, национальной принадлежности;

-политических взглядов, религиозных  или философских убеждений;

-состояния здоровья, интимной  жизни физического лица, а также  биометрические персональные данные - сведения, характеризующие физиологические  особенности человека.

 

2.2 Принципы и  условия обработки информации

 

Обработка персональных данных включает все действия и операции с ними, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокировку и уничтожение. Согласно закону это обычные хозяйственные операции учреждения, с которыми часто сталкивается как руководитель, так и бухгалтерская служба.

В соответствии с п. 1 ст. 6 Закона о персональных данных обработка данных возможна только с согласия работника. Поэтому при оформлении сотрудника на работу необходимо получить от него письменное заявление о согласии на обработку данных. В таком заявлении работник в обязательном порядке должен сообщить:

-фамилию, имя, отчество, свой  адрес, номер документа, удостоверяющего  личность, сведения о дате выдачи  и органе, его выдавшем;

-наименование и адрес  учреждения, которое получило согласие  на использование персональных  данных;

-цель обработки данных;

-перечень персональных  данных, на обработку которых  согласен работник;

-перечень действий, на  которые дается согласие, общее  описание используемых учреждением  способов обработки сведений;

-срок, в течение которого  действует согласие, а также порядок  его отзыва (п. 4 ст. 9 Закона о персональных  данных).

Представим образец заявления работника (см. приложение).

В процессе трудовой деятельности любой работник может столкнуться с пристальным вниманием со стороны злоумышленников или конкурентов - как своих, так и конкурентов организации, в которой он работает. Статья посвящена вопросам обеспечения безопасности персонала на основе защиты персональных данных работников.

Безопасность собственного персонала - это одно из тех направлений, которое должно быть обеспечено организацией в первую очередь.

Безопасность персонала - это состояние защищенности работников - самого важного ресурса предприятия - от внешних и внутренних угроз, нанесения материального, морального или физического вреда в результате случайных или преднамеренных действий.

Управление безопасностью персонала является сложной проблемой, которая представляет собой управление комплексом организационных и технических мероприятий, снижающих угрозы безопасности персонала на предприятиях.

Приведем примерный перечень некоторых потенциальных угроз персоналу:

-прямое переманивание  конкурентами ведущих руководителей  и специалистов;

-вербовка сотрудников  конкурирующими и криминальными  структурами, а в отдельных случаях - правоохранительными органами;

-шантаж или прямые угрозы  в адрес конкретных сотрудников  с целью склонения их к нарушению  доверия со стороны работодателя (т.е. к совершению различных должностных  нарушений);

-покушения на сотрудников (прежде всего высших руководителей) и членов их семей.

Подобные угрозы могут быть реализованы в любой организации и по отношению к любому сотруднику, к которому по той или иной причине появился интерес со стороны злоумышленников. Осуществление подобных угроз возможно за счет знания злоумышленниками персональной информации, личных специфических данных о работнике.

Работа кадровых служб всегда связана с накоплением, формированием, обработкой и использованием значительных объемов сведений о всех категориях сотрудников. Эти сведения относятся к персональным данным, которые по своей сути отражают личную и семейную тайну работников, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа. Бесконтрольное распространение персональных данных может нанести значительный ущерб как физическому лицу - субъекту персональных данных, так и организации, в стенах которой произошла утечка конфиденциальной информации.

В организации защиты персональных данных на локальном уровне особое внимание должно быть уделено элементарным требованиям по правильной, грамотной, квалифицированной кадровой работе, профессиональному уровню подготовки и информационно-правовой культуре сотрудников кадровых подразделений. Несоблюдение сотрудниками кадровых подразделений организационных условий, направленных на защиту персональных данных работников, может способствовать образованию каналов утечки конфиденциальной информации.

 

2.3 Основные аспекты  передачи персональных данных  работника и защита информации  при работе с персональными  данными на ЭВМ

 

Установленные в ст. 86 ТК РФ общие требования при обработке персональных данных работника призваны обеспечивать безопасное хранение и использование работодателем конфиденциальной информации о работниках. Основное назначение этих требований - обеспечение соблюдения конституционных прав работников на неприкосновенность персонифицированных сведений о них. Эти общие требования работодатель должен знать и учитывать прежде всего при разработке правил их получения, обработки, хранения, использования, передачи третьим лицам.

Возложив на работодателя обязанность разработать и ввести в действие указанные правила, ст. 87 ТК РФ определила, что эти правила устанавливаются работодателем с соблюдением требований Трудового кодекса Российской Федерации и иных федеральных законов. Они должны обеспечивать соблюдение законодательства при хранении персональных данных работника, недоступность этих сведений для лиц, которые не имеют допуска к работе с документами и другими источниками информации о личности работника.

Все документы и материалы, содержащие персональные данные работника, в своей совокупности образуют его личное дело. В него помещаются заявление работника о приеме на работу, его анкета, копии документов об образовании, квалификации, приказ (распоряжение) о принятии на работу, экземпляр трудового договора, все предусмотренные нормативными актами стандартные унифицированные формы первичной учетной документации по кадровой работе и по учету труда и его оплаты. В дело помещается также заявление работника об увольнении, материалы, явившиеся основанием расторжения трудового договора или его прекращения, приказ (распоряжение) работодателя, которым прекращены трудовые отношения с работником.

Общий порядок ведения и хранения личного дела работника устанавливает работодатель, а ведут его, как правило, работники отделов кадров или иных служб работодателя. Для них работодателем устанавливаются специальные обязанности по обеспечению сохранности и конфиденциальности информации, образующей персональные данные работников. Эти обязанности должны быть включены в трудовые договоры работников, трудовой функцией которых является обработка персональных данных работников.

Разрабатывая и принимая правила хранения и использования персональных данных работников, работодатель должен установить сроки хранения различных документов и материалов, как образующих личное дело работника, так и не вошедших в него. При этом работодатель должен учитывать, что сроки хранения наиболее важных документов, содержащих персональные данные работников, определяются различными нормативными актами, среди которых можно назвать Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков их хранения, утвержденный руководителем Федеральной архивной службы России 6 октября 2000 г.

В частности, в соответствии с этим Перечнем личные дела (заявления, автобиографии, копии приказов и выписки из них, копии личных документов, характеристики, листки по учету кадров, анкеты, аттестационные листы и др.) руководителя организации, членов руководящих, исполнительных, контрольных органов организации, а также работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно.

Аналогичные документы других работников хранятся 75 лет.

Также в течение 75 лет хранятся не вошедшие в состав личных дел трудовые договоры, характеристики, личные карточки, другие материалы (в том числе временных работников).

Трудовые книжки и дубликаты трудовых книжек, не полученные работниками при увольнении либо в случае смерти работника не полученные его ближайшими родственниками, хранятся в течение двух лет в кадровой службе работодателя отдельно от остальных трудовых книжек. По истечении указанного срока невостребованные трудовые книжки хранятся в архиве организации в течение 50 лет, после чего подлежат уничтожению в установленном порядке.

Документы лиц, не принятых на работу (анкеты, автобиографии, листки по учету кадров, заявления, рекомендательные письма, резюме и др.), хранятся работодателем один год.

В течение действия трудового договора с работником, а также в течение сроков хранения документов, содержащих персональные данные о работнике, эти данные используются работодателем, в том числе передаются другим лицам, в результате чего информация о работнике может получить широкое распространение.

По общему правилу, закрепленному в ст. 88 ТК РФ, передача работодателем персональных данных работника другим лицам допускается только при наличии добровольного волеизъявления работника, подтвержденного его письменным заявлением. Исключения из этого правила могут предусматриваться Трудовым кодексом Российской Федерации и иными федеральными законами, например, с целью обеспечения безопасности работников.

В целом ст. 88 ТК РФ «Передача персональных данных работника» устанавливает семь требований, которые работодатель должен соблюдать при передаче информации о работнике другим лицам.

Первое из таких требований запрещает работодателю сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

Из этого следует, что работодатель может сообщать персональные данные работника третьему лицу только с письменного согласия работника. Без такого согласия работодатель может сообщать персональные данные работника третьему лицу только в двух случаях: а) когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, например, передача сведений о группе крови лица, находящегося в тяжелом состоянии; б) в других случаях, предусмотренных федеральным законодательством.

Так, федеральными законами предусмотрено обязательное направление работодателем соответствующей информации о своих работниках в Фонд социального страхования, в Пенсионный фонд, в налоговые органы, в органы государственного надзора и контроля за соблюдением законодательства о труде, в органы исполнительной власти и профессиональных союзов, участвующих в расследовании несчастных случаев на производстве, в суд, прокурору, в органы предварительного следствия и дознания.

В соответствии со ст. 357 ТК РФ государственные инспекторы труда при осуществлении надзорно-контрольной деятельности имеют право запрашивать у работодателей и безвозмездно получать от них документы и информацию, необходимые для выполнения надзорных и контрольных функций, включая персональные данные работников.

По предписанию, содержащемуся в ч. 2 ст. 228 ТК РФ, при несчастном случае на производстве, вызвавшим причинение вреда здоровью двум человекам и более или со смертельным исходом, работодатель (его представитель) в течение суток обязан направить об этом необходимую информацию: в соответствующую государственную инспекцию труда; в прокуратуру по месту происшествия несчастного случая; в федеральный орган исполнительной власти по ведомственной принадлежности и в орган исполнительной власти субъекта Российской Федерации; в организацию, направившую работника, с которым произошел несчастный случай; в территориальные объединения организаций профсоюзов; страховщику по вопросам обязательного социального страхования от несчастных случаев на производстве и профессиональных заболеваний.