Защита персональных данных работника

Так, федеральными законами предусмотрено обязательное направление работодателем соответствующей информации о своих работниках в Фонд социального страхования, в Пенсионный фонд, в налоговые органы, в органы государственного надзора и контроля за соблюдением законодательства о труде, в органы исполнительной власти и профессиональных союзов, участвующих в расследовании несчастных случаев на производстве, в суд, прокурору, в органы предварительного следствия и дознания.

В соответствии со ст. 357 ТК РФ государственные инспекторы труда при осуществлении надзорно-контрольной деятельности имеют право запрашивать у работодателей и безвозмездно получать от них документы и информацию, необходимые для выполнения надзорных и контрольных функций, включая персональные данные работников.

По предписанию, содержащемуся в ч. 2 ст. 228 ТК РФ, при несчастном случае на производстве, вызвавшим причинение вреда здоровью двум человекам и более или со смертельным исходом, работодатель (его представитель) в течение суток обязан направить об этом необходимую информацию: в соответствующую государственную инспекцию труда; в прокуратуру по месту происшествия несчастного случая; в федеральный орган исполнительной власти по ведомственной принадлежности и в орган исполнительной власти субъекта Российской Федерации; в организацию, направившую работника, с которым произошел несчастный случай; в территориальные объединения организаций профсоюзов; страховщику по вопросам обязательного социального страхования от несчастных случаев на производстве и профессиональных заболеваний.

Эту информацию в те же органы при несчастном случае направляет любой работодатель - как организация, так и физическое лицо.

Второе требование, содержащееся в ст. 88 ТК РФ, запрещает работодателю сообщать персональные данные работника в коммерческих целях без его письменного согласия.

Важность персональных данных работника, как и любого гражданина, с точки зрения их коммерческой и иной значимости трудно переоценить. Они всегда пользовались спросом и в деятельности государства, которое собирало сведения о своих гражданах в разнообразных информационных банках, и кредиторами, и работодателями, которые запрашивали или требовали от граждан самую разную информацию о них - имя, дату и место рождения, адрес места жительства, наличие семьи, образования и т.д.

С наступлением эры компьютеров и телекоммуникационных технологий конфиденциальная информация, образующая персональные данные гражданина, становится практически общедоступной. Снижение затрат времени и финансовых средств на ее получение сделало подобную информацию объектом бизнеса, доходным видом предпринимательской деятельности (не всегда законной). Об этом свидетельствует наличие на компьютерных рынках большого количества различных баз данных, содержащих информацию персонального характера о гражданах как абонентах телефонных сетей, владельцах автомототранспортных средств, собственниках недвижимого имущества, налогоплательщиках. В них приводятся достаточно полные сведения о лице, дате и месте рождения, месте жительства, информация о заболеваниях, привычках, увлечениях, пристрастиях и др.

Информация о работнике в коммерческих целях может предоставляться работодателем партнерам по бизнесу как о своих представителях, чтобы обеспечить доверие к ним со стороны контрагента. Об объеме и характере такой информации работник должен быть осведомлен, поскольку анализируемая норма требует для использования персональной информации в коммерческих целях получение письменного согласия работника.

Третье требование обязывает работодателя предупредить лиц, получающих от него персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности) обработки и использования полученной информации. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами.

В четвертых, работодатель обязан обеспечить осуществление передачи персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись.

Такие локальные нормативные акты могут разрабатываться в качестве самостоятельного документа (положения, инструкции) или в качестве приложения к коллективному договору. Они должны учитывать действующее законодательство, инструкции и положения, касающиеся допуска граждан к сведениям, относящимся к государственной и иным видам тайны.

Пятое требование, предусмотренное в ст. 88 ТК РФ, устанавливает, что работодатель должен разрешать доступ к персональным данным работников только специально уполномоченным лицам. При этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Без дополнительного разрешения к документам, содержащим персональные данные работника, допускаются только лица, представляющие такие документы, их исполнители, работники, которые визировали, подписывали или утверждали документ, а также лица, указанные или названные в тексте документа.

Шестое требование гласит, что работодатель не вправе запрашивать информацию о состоянии здоровья работника, за исключением тех сведений о его здоровье, которые необходимы для рассмотрения вопроса и принятия решения о возможности выполнения работником конкретной трудовой функции, обусловленной трудовым договором.

Информация о состоянии здоровья гражданина составляет врачебную тайну. Передача ее кому бы то ни было допускается только с согласия работника или его законного представителя. Исключение составляют случаи, когда информация о состоянии здоровья работника передается работодателю при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений или при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий. Информация о состоянии психического здоровья гражданина может передаваться работодателю лишь в случаях, установленных федеральными законами, например, законом «О психиатрической помощи и гарантиях прав граждан при ее оказании».

Работодателю информация о состоянии здоровья работника, необходимая для решения вопроса о возможности выполнения им конкретной трудовой функции, представляется в форме медицинского заключения с выводом о соответствии или несоответствии работника по состоянию здоровья конкретной должности или виду работы.

Наконец, седьмое требование, предусмотренное в ст. 88 ТК РФ, гласит, что работодатель обязан передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Представители работников, например, выборный профсоюзный орган, применительно к получению персональных данных работника являются третьей стороной. Поэтому передача работодателем им данной информации осуществляется в соответствии с ограничениями и правилами, установленными ст. 88 ТК РФ. Представители работников обязаны соблюдать режим конфиденциальности полученных ими персональных данных работника.

Круг информации о работнике, передаваемой представителям работников, определяется функциями и полномочиями представителей. Общей функцией любого представителя работников в сфере трудовых отношений является участие в коллективных переговорах по заключению коллективного договора, при разрешении коллективных трудовых споров, при защите работника в процессе индивидуального трудового спора. Поэтому персональная информация о работниках может служить выработке условий коллективного договора, разрешению коллективного конфликта, принятию решения по индивидуальному трудовому спору, обеспечению интересов данного работника, улучшению условий работы всем или отдельным категориям работников.

Важная роль в защите персонифицированной информации о работнике отводится и самому работнику как стороне трудового договора. В целях обеспечения защиты персональных данных, хранящихся у работодателя, ст. 89 ТК РФ наделяет работников правом:

- на полную информацию об их персональных данных и обработке этих данных;

- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

- определение своих представителей для защиты своих персональных данных;

- доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжалование в суд любых неправомерных действий или без действия работодателя при обработке и защите его персональных данных.

Предусматривая права и обязанности сторон трудового договора, направленные на защиту персональных данных работника, в ст. 90 ТК РФ «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника» Кодекс устанавливает, что лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Как можно заметить, данная норма носит отсылочно-бланкетный характер, так как отсылает к нормам трудового права, предусматривающим дисциплинарную ответственность, а также к нормам других отраслей права, устанавливающим правила получения, обработки и защиты персональных данных работника, за нарушение которых установлена административная, гражданско-правовая или уголовная ответственность.

По мнению авторов Комментария к Трудовому кодексу Российской Федерации, перечень видов юридической ответственности, указанных в ст. 90 ТК РФ, не является исчерпывающим, поскольку лица, виновные в нарушении правил работы с персональными данными работника, также могут быть привлечены к материальной ответственности. Причем к материальной ответственности за виновное нарушение норм, регулирующих порядок получения, обработки и защиты персональных данных работника, могут привлекаться как работодатель, так и работники, непосредственно обрабатывающие персональные данные работников.

Административная ответственность в виде штрафа в размере от 5 до 10 минимальных размеров оплаты труда для должностных лиц, а для юридических лиц - от 50 до 100 или более минимальных размеров оплаты труда может наступить за совершение таких проступков, предусмотренных Кодексом Российской Федерации об административных правонарушениях, как:

- отказ в предоставлении гражданину информации, собранных в установленном порядке документов, материалов, непосредственно затрагивающих его права и свободы, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39);

- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11);

- нарушение правил защиты информации, за исключением информации, составляющей государственную тайну (ст. 13.12);

- незаконная деятельность в области защиты информации (ст. 13.13);

- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).

Субъектами административной ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах и за нарушение правил защиты информации могут быть как работодатели - физические лица, так и работодатели - юридические лица (организации), их руководители и конкретные работники, исполняющие трудовые функции, связанные со сбором, хранением, использованием персональных данных работников.

Гражданско-правовая ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, наступает в случае, если такое нарушение причиняет ущерб неотчуждаемым правам и свободам человека и другим нематериальным благам, к числу которых относятся честь и доброе имя, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна (ст. 2, 150 ГК РФ).

Гражданско-правовая ответственность может выражаться в возложении обязанности по возмещению имущественного ущерба или компенсации морального вреда. Например, моральный вред работнику может быть причинен в результате виновного распространения персональных данных работника, в случае представления третьим лицам недостоверной информации о работнике, содержащей сведения, порочащие его честь, достоинство, деловую репутацию.