Защита персональных данных работника

Общие требования при обработке персональных данных работника и гарантии их защиты.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым Кодексом и иными федеральными законами;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Таким образом, законодательством установлены общие требования, соблюдение которых работодателем или его представителем является обязательным при обработке персональных данных работника и их защите.

Передача персональных данных работника.

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника;

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Работодатель должен передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя.

Работники имеют право на полную информацию об их персональных данных и обработке этих данных. Право работника на полную информацию о персональных данных и об их обработке обеспечивается обязанностью работодателя ознакомить работника с документами о порядке обработки персональных данных работников, принятыми работодателем, а также с правами и обязанностями работника в области защиты персональных данных.

Работники имеют право на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника. Доступ к персональным данным предоставляется работнику или его законному представителю работодателем при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность работника или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись работника или его законного представителя.

Работники имеют право на определение своих представителей для защиты своих персональных данных. Работник свободен в определении представителей для защиты персональных данных. Как правило, функции представительства работников перед работодателем, в том числе и по вопросам защиты персональных данных работника, осуществляют профсоюзы. Вместе с тем для защиты персональных данных, работник может определить другого представителя (физическое либо юридическое лицо), равно как и защищать права самостоятельно.

Работники имеют право на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору. По требованию гражданина ему предоставляются копии медицинских документов, отражающих состояние его здоровья, если в них не затрагиваются интересы третьей стороны.

Работники имеют право требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового Кодекса. При отказе работодателя исключить или исправить персональные данные работника, работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Оценка качества обрабатываемых персональных данных работником и работодателем могут не совпадать. Это может быть обусловлено как неправомерными действиями работодателя, работника, так и действиями третьих лиц, представивших работодателю недостоверную или неточную информацию о конкретном работнике. Работодатель, полагающий, что совершаемая им обработка персональных данных законна, имеет возможность отказать в удовлетворении требования работника. При несогласии работника с отказом в удовлетворении его требований, он вправе продолжить переговоры с работодателем, изложив точку зрения в письменной форме, либо обжаловать действия или бездействие работодателя в судебном порядке.

Работники имеют право требовать от работодателя оповещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях. Извещение всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях, должно производиться работодателем вне зависимости от наличия или отсутствия требования работника о направлении соответствующего извещения. Если работодатель не извещает всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях, работник имеет право потребовать от работодателя направления соответствующего извещения, а в случае отказа от его направления - защищать свои права в судебном порядке.

Любые неправомерные действия или бездействие работодателя при обработке и защите персональных данных могут быть обжалованы работником в суд в соответствии со ст. 46 Конституции РФ, гарантирующей каждому судебную защиту его прав и свобод.