Работодатель не имеет права требовать у работника данные о его политических, религиозных и иных убеждениях и частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном ТК РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Раздел "Доступ к персональным данным" определяет список сотрудников, которые могут иметь доступ к этой информации. Обычно это:
- руководитель организации;
- руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);
- при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;
- сотрудники бухгалтерии;
- сотрудники службы управления персоналом;
- сотрудники компьютерных подразделений;
- сам работник, носитель данных.
Также к числу имеющих право доступа к персональным данным вне организации можно отнести государственные и негосударственные функциональные структуры в сфере своей компетенции:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления;
- другие организации с письменного разрешения сотрудника.
Так как персональные данные являются конфиденциальной информацией, в Положении обязательно существует раздел "Защита персональных данных". Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
Для обеспечения внутренней защиты персональных данных работников, как отмечает О.И. Захаркина, необходимо соблюдать следующие меры[90]:
- ограничить и регламентировать состав работников, функциональные обязанности которых требуют конфиденциальных знаний;
- установить строгое избирательное и обоснованное распределение документов и информации между работниками;
- рационально разместить рабочие мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- ознакомить работников с требованиями нормативно-методических документов по защите информации и сохранении тайны;
- обеспечить необходимые условия в помещении для работы с конфиденциальными документами и базами данных;
- обеспечить защиту персональных данных сотрудника на электронных носителях;
- определить и регламентировать состав работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организовать порядок уничтожения информации;
- своевременно выявлять нарушения требований разрешительной системы доступа работниками подразделения;
- проводить воспитательную и разъяснительную работу с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- не допускать выдачу личных дел сотрудников на рабочие места руководителей.
Для обеспечения внешней защиты персональных данных также рекомендуется разработать определенные правила:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим организации;
- учет и порядок выдачи удостоверений;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
Раздел "Права и обязанности работника" закрепляет права работника, регламентирующие защиту его персональных данных, и обязывает его сообщать работодателю комплекс достоверных, документированных персональных данных, состав которых установлен ТК РФ, а также своевременно сообщать работодателю об изменении своих персональных данных.
Статья 90 ТК РФ устанавливает ответственность лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника.
Статья 5.39 КоАП РФ устанавливает ответственность должностных лиц за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное представление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации - наложение административного штрафа в размере от 500 до 1000 рублей.
В соответствии с ГК РФ лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
Нарушение режима защиты, обработки и порядка использования наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
Все работники и их представители должны быть ознакомлены под расписку с Положением об обработке персональных данных, устанавливающим порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
2.3 Право на доступ к персональным данным
Статьей 14 Федерального закона «О персональных данных» регламентируется право субъекта персональных данных на доступ к своим персональным данным. В соответствии с частью первой указанной статьи, субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных ч. 5 ст. 14 указанного Закона. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством РФ. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей: