Порядок обработки персональных данных работника
Принятие в минувшем году Закона об информации*(1) и Закона о персональных данных*(2) ввело в поле правового регулирования общественные отношения, ранее не затронутые влиянием национального права. Круг информационных процессов, регламентированный правовыми нормами, значительно расширился и упорядочился. Изменены во многом и ранее действовавшие правовые нормы, относящиеся к реализации информационной свободы.
Не осталась без изменений и такая область отношений, как информационные процессы в сфере взаимодействия работника и работодателя. В условиях постоянного роста обработки информации с помощью электронных средств и при возможности практически мгновенной передачи информации в любую точку мира обеспечение сохранности персональных данных человека, работника становится особенно актуальным, так как их бесконтрольное использование фактически нивелирует область минимальной свободы человека, вторгается в его частную жизнь.
Согласно положениям ст. 23, 24 и 29 Конституции РФ, Трудового кодекса РФ и Закона "О коммерческой тайне"*(3) на каждом предприятии должен быть урегулирован порядок обработки персональных данных работника. Это необходимо в интересах как работника, так и работодателя и позволит избежать возможных споров и претензий в достаточно деликатной сфере частной жизни человека.
Разработанное и предложенное автором положение об обработке персональных данных работника основано на действующем законодательстве РФ с учетом произошедших изменений и направлено на защиту прав работника при обработке его персональных данных работодателем.
Не секрет, что работодатель имеет в своем арсенале набор как правовых, так и экономических методов воздействия на работника, которые порой позволяют практически полностью нивелировать права работника. Таким образом, представляется целесообразным в данном случае урегулировать информационные отношения между работником и работодателем именно с позиции придания защите прав работника решающей роли.
По мнению автора, приведенное положение поможет регулированию прав и обязанностей как работника, так и работодателя в сфере информационных процессов с позиции главенствования информационной свободы.
Приведенное положение содержит в себе семь разделов, которые закрепляют основные принципы обработки персональных данных работника. Руководствуясь разделами 2 и 3, сотрудник компании должен изначально определить круг информации, которая необходима для реализации прав и обязанностей работодателя. Далее, получив интересующую его информацию, сотрудник имеет право производить с ней требуемые действия в форме и методах, определенных в положении. Автор рекомендует ознакомить каждого работника под роспись с принятым в организации положением о персональных данных работника, что позволит в дальнейшем избежать обвинений в части нарушений прав работника, а также дисциплинирует как работника, так и работодателя.
Практическим работникам организаций следует обратить внимание на раздел 6 положения, так как здесь описывается возможность формирования личного дела работника. Зачастую такие личные дела состоят из "личных карточек", включают в себя различные приказы, заявления и пр. Учитывая специфику каждого предприятия, возможно и даже необходимо в каждом конкретном случае вносить коррективы в данный раздел. Например, возможны уточнения документов, хранящихся в личном деле, корректировка сроков получения и выдачи информации, распределение функций в части обработки персональных данных между различными сотрудниками организации. Нельзя предусмотреть в модельном акте, в том числе и в приведенном положении, всех нюансов деятельности компаний, но автор постарался изложить основные принципы с учетом произошедших изменений и наблюдающихся тенденций развития законодательства в сфере информационной свободы и трудовых отношений. Хочется надеяться, что приведенное положение окажет как теоретическую, так и практическую ценность в работе юристов, специалистов в кадровом деле, поможет работникам разобраться в своих правах и обязанностях.
Положение о персональных данных работников
1. Общие положения
1.1. Настоящее Положение определяет порядок обработки персональных данных работников Компании.
1.2. Целью настоящего Положения является регулирование информационных процессов в сфере обработки персональных данных работников Компании.
1.3. Основанием для разработки данного Положения являются:
Конституция РФ;
Трудовой кодекс Российской Федерации;
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и пр.
2. Понятие и состав персональных данных
Под персональными данными работника (работников) Компании понимается информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (далее - Работнику), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, и иная информация, которая необходима работодателю в связи с реализацией трудовых отношений между работодателем и Работником.
На лиц, которые предоставили Компании персональные данные в целях реализации трудовых отношений, но трудовой договор с ними заключен не был или прекратили трудовые отношения с Компанией, данное положение распространяется в части, не противоречащей положениям Закона о персональных данных.
3. Принципы обработки персональных данных
3.1. Персональные данные обрабатываются на основе принципов:
а) законности целей и способов обработки персональных данных и добросовестности;
б) обеспечения соблюдения законов и иных нормативных правовых актов, содействия Работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности Работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
в) соответствия объема и характера обрабатываемых персональных данных, способов их обработки целям обработки персональных данных. Компания не имеет права получать и обрабатывать персональные данные Работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Компания вправе получать и обрабатывать данные о частной жизни Работника только с его письменного согласия. Компания не имеет права получать и обрабатывать персональные данные Работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ;
г) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к заявленным при их сборе целям. Все персональные данные Работника следует получать у него самого. Если их возможно получить только у третьей стороны, то Работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Компания должна сообщить Работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Работника дать письменное согласие на их получение;
д) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. При принятии решений, затрагивающих интересы Работника, Компания не имеет права основываться на персональных данных Работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
е) защиты персональных данных Работника от неправомерного доступа и их использования или утраты. Компания должна обеспечить такую защиту за счет собственных средств и в порядке, установленном законодательством РФ.
3.2. Компания и ее представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных Работников, а также об их правах и обязанностях в этой области.
3.3. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
3.4. Компания, Работники и их представители должны совместно вырабатывать меры защиты персональных данных Работников.
3.5. Персональные данные должны храниться в форме, позволяющей определить субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
4. Права Работника в целях обеспечения защиты персональных данных,
хранящихся у Компании
В целях обеспечения защиты персональных данных, хранящихся у Компании, Работник имеет право:
а) на полную информацию об их персональных данных и обработке этих данных;
б) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Работника, за исключением случаев, предусмотренных федеральным законом;
в) определение своих представителей для защиты персональных данных;
г) доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
д) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований закона. При отказе Компании исключить или исправить персональные данные Работника он имеет право заявить в письменной форме Компании о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера Работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
е) требование об извещении Компанией всех лиц, которым ранее были сообщены неверные или неполные персональные данные Работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
ж) обжалование в суде любых неправомерных действий или бездействия Компании при обработке и защите его персональных данных.
5. Обязанности компании в сфере обработки персональных данных Работника
5.1. В целях обеспечения защиты персональных данных и соблюдения
законодательства РФ Компания обязана:
а) обеспечивать конфиденциальность персональных данных Работника, не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
б) не включать в общедоступные источники персональных данных (в том числе справочники, электронные базы данных и пр.) без письменного согласия Работника его персональные данные;
в) в любое время исключать из общедоступных источников персональных данных по требованию Работника сведения, относящиеся к его персональным данным;
г) получать согласие от Работника о предоставлении его персональных данных, в том числе в адрес Компании;
д) в установленных законодательством случаях получить письменное согласие Работника на обработку его персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
е) получить специальное письменное согласие в случае необходимости обработки сведений, которые характеризуют физиологические особенности Работника и на основе которых можно установить его личность (биометрические персональные данные);
ж) уточнять персональные данные Работника по его требованию, блокировать их или уничтожить, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
з) предоставить Работнику по его требованию сведения о наличии у Компании его персональных данных, а также их содержание;
и) предоставить Работнику информацию, касающуюся обработки
