Опыт обработки персональных данных работника в компании

(Кротов А. В.) («Информационное право», 2007, N 2)

ОПЫТ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА В КОМПАНИИ

А. В. КРОТОВ

Кротов А. В., начальник юридической службы ООО «Орион» (Н. Новгород).

Учитывая положения ст. ст. 23, 24 и 29 Конституции РФ <1>, Трудового кодекса РФ <2> и Федерального закона «О коммерческой тайне» <3>, на каждом предприятии должен быть урегулирован порядок обработки персональных данных работника. Это необходимо как в интересах работника, так и в интересах работодателя, позволит избежать возможных споров и претензий в достаточно деликатной сфере частной жизни человека. Адекватное урегулирование невозможно без учета положений современного законодательства, которое вносит свои, порой достаточно существенные коррективы в устоявшиеся общественные отношения. Принятие Федерального закона N 149-ФЗ «Об информации, информационных технологиях и о защите информации» <4> и Федерального закона N 152-ФЗ «О персональных данных» <5> ввело в поле правового регулирования массив общественных отношений, ранее не затронутый влиянием национального права. Круг информационных процессов, регламентированный правовыми нормами, значительно расширился и упорядочился. ——————————— <1> Конституция Российской Федерации // Российская газета. 1993. N 237. <2> Трудовой кодекс Российской Федерации // Собрание законодательства РФ. 2002. N 1 (ч. 1). Ст. 3. <3> Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» // Собрание законодательства РФ. 2004. N 32. Ст. 3283. <4> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Собрание законодательства РФ. 2006. N 31 (ч. 1). Ст. 3448. <5> Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» // Собрание законодательства РФ. 2006. N 31 (ч. 1). Ст. 3451.

Разработанное и предложенное в данной статье положение об обработке персональных данных работника основано на законодательстве РФ с учетом произошедших изменений и направлено на защиту прав работника при обработке его персональных данных работодателем. Такая направленность объясняется асимметричностью прав работника и работодателя. Работодатель имеет в своем арсенале набор методов воздействия на работника, как правовых, так и экономических, который позволяет практически полностью нивелировать права работника. Таким образом, представляется целесообразным в данном случае урегулирование информационных отношений между работником и работодателем именно с позиции придания защите прав работника решающей роли. Приведенное примерное положение о персональных данных поможет лучшему урегулированию прав и обязанностей как работника, так и работодателя в сфере информационных процессов. Основанием для разработки данного положения являются: Конституция РФ, Трудовой кодекс РФ, Федеральный закон «Об информации, информационных технологиях и о защите информации», Федеральный закон «О персональных данных» и др. Под персональными данными работника (работников) компании понимается информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (далее — работнику), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и иная информация, которая необходима работодателю в связи с реализацией трудовых отношений между работодателем и работником. На лица, которые предоставили компании персональные данные в целях реализации трудовых отношений, но трудовой договор с ними заключен не был или прекратили трудовые отношения с компанией, данное положение распространяется в части, не противоречащей Федеральному закону «О персональных данных». Обработка персональных данных осуществляется на основе принципов: а) законности целей и способов обработки персональных данных и добросовестности; б) исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; в) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных. Компания не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации компания вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Компания не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ; г) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Компания должна сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение; д) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. При принятии решений, затрагивающих интересы работника, компания не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения; е) защита персональных данных работника от неправомерного доступа и их использования или утраты должна быть обеспечена компанией за счет ее средств в порядке, установленном законодательством РФ; ж) компания и ее представители должны быть ознакомлены под роспись с документами компании, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области; з) работники не должны отказываться от своих прав на сохранение и защиту тайны; и) компания, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Права работников. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на: а) полную информацию об их персональных данных и обработке этих данных; б) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом; в) определение своих представителей для защиты своих персональных данных; г) доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору; д) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований закона. При отказе компании исключить или исправить персональные данные работника он имеет право заявить в письменной форме компании о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения; е) требование об извещении компанией всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; ж) обжалование в суд любых неправомерных действий или бездействия компании при обработке и защите его персональных данных. Обязанности компании. В целях обеспечения защиты персональных данных и соблюдения законодательства РФ компания обязана: а) обеспечивать конфиденциальность персональных данных работника, не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания; б) не включать в общедоступные источники персональных данных (в том числе справочники, электронные базы данных и пр.) без письменного согласия работника его персональные данные; в) в любое время исключать из общедоступных источников персональных данных по требованию работника сведения о работнике, относящиеся к его персональным данным; г) получать согласие от работника о предоставлении его персональных данных, в том числе в адрес компании; д) в установленных законодательством случаях получить письменное согласие работника на обработку его персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни); е) получить специальное письменное согласие в случае необходимости обработки сведений, которые характеризуют физиологические особенности работника и на основе которых можно установить его личность (биометрические персональные данные); ж) уточнить персональные данные работника по его требованию, их блокировать или уничтожить в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; з) предоставить работнику по его требованию сведения о наличии у компании его персональных данных, а также их содержании; и) предоставить работнику информацию, касающуюся обработки его персональных данных, в том числе содержащую: — подтверждение факта обработки персональных данных компанией, а также цель такой обработки; — способы обработки персональных данных, применяемые компанией; — сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; — перечень обрабатываемых персональных данных и источник их получения; — сроки обработки персональных данных, в том числе сроки их хранения; — сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных; к) не принимать решения исключительно на основании автоматизированной обработки персональных данных (за исключением письменного согласия работника); л) при сборе персональных данных по запросу работника предоставить ему информацию в соответствии с подп. «и» п. 5 настоящего положения; м) в связи с необходимостью предоставления персональных данных в соответствии со ст. 65 Трудового кодекса РФ, разъяснить работнику последствия отказа в предоставлении персональных данных; н) если персональные данные были получены не от работника, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, компания до начала обработки таких персональных данных обязана предоставить работнику следующую информацию: — наименование (фамилия, имя, отчество) и адрес оператора или его представителя; — цель обработки персональных данных и ее правовое основание; — предполагаемые пользователи персональных данных; — установленные Трудовым кодексом РФ и Федеральным законом «О персональных данных» права работника, связанные с обработкой персональных данных. При приеме на работу компания формирует личное дело работника, в котором указываются персональные данные работника, предоставленные им компании при приеме на работу, а также информация, относящаяся к трудовым отношениям между работником и компанией. Компания назначает сотрудника, ответственного за ведение личного дела работника. Ответственный сотрудник выполняет оперативное пополнение информации, содержащейся в личном деле работника. Копии документов, подлежащих хранению в личном деле, при необходимости заверяются ответственным сотрудником. Сотрудники компании могут использовать информацию из личного дела работника только в случае, если такое использование необходимо в связи с выполнением ими их должностных обязанностей, при этом такие сотрудники уведомляются об ответственности за разглашение персональных данных работника. Компания ведет учет сотрудников, получивших доступ к персональным данным работника. Работник имеет право в любое время беспрепятственно бесплатно ознакомиться с информацией, находящейся в личном деле, обратившись к ответственному лицу, а также получить копию любой записи, содержащей персональные данные работника. По требованию работника в течение одного дня ответственное лицо компании обязано: — исключить или исправить неверную или неполную информацию из личного дела работника; — при наличии неверных или неполных персональных данных работника, сообщенных третьим лицам, известить указанные лица обо всех произведенных в персональных данных работника (личном деле) исключениях, исправлениях или дополнениях. В случае необходимости получения персональных данных о работнике в объеме большем, чем это установлено в ТК РФ, компания обязана получить от работника письменное согласие до момента получения персональных данных. Если персональные данные работника являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, компания обязана уточнить, заблокировать или уничтожить их, а при достижении целей обработки персональных данных компания обязана уничтожить соответствующие персональные данные работника в течение трех дней с момента возникновения указанных фактов. Персональная информация о работнике может быть распространена компанией, в том числе путем включения в рекламные материалы, опубликования в электронном виде и пр., только при наличии письменного согласия работника.

——————————————————————