Обеспечение прав граждан при обработке персональных данных

Раскрываются все вопросы, указанные в содержании ...

СПИСОК СОКРАЩЕНИЙ 3
ВВЕДЕНИЕ 4
1. ТЕОРЕТИКО-ПРАВОВЫЕ ОСНОВЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 8
1.1. История развития правового регулирования обеспечения защиты персональных данных в России 8
1.2. Понятие, виды и категории персональных данных 15
1.3. Правовое регулирование защиты персональных данных 24
2. ОСОБЕННОСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРАМИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ 29
2.1. Общие требования при обработке персональных данных работников и гарантии их защиты 29
2.2. Государственный контроль в сфере обработки и хранения персональных данных работников 42
2.3. Особенности ответственности за нарушение законодательства о защите персональных данных 48
ЗАКЛЮЧЕНИЕ 61
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ 63

На сегодняшний день одной из актуальных проблем является правовое регулирование персональных данных. Данный вопрос является актуальным как в науке российского права, так и в правоприменительной практике. Специфика данной проблемы заключается непосредственно в том, что нужно создать такой механизм оборота, а также защиты персональных данных, который учитывал бы одновременно интересы абсолютно каждого человека.
Решить рассматриваемую проблему возможно посредством изучения теории, а также посредством анализирования правоприменительной практике, которая накапливается со временем.
Представляется, что проблемы правового регулирования персональных данных невозможно разрешить без мониторинга состояния рынка информационных технологий, продуктов и услуг, а также отслеживания общих тенденций развития информационного общества.
Необходимо отметить, что каждый раз, когда человек вступает в трудовые отношения, он обязан сообщать свои персональные данные. Это необходимо для того, чтобы человека можно было идентифицировать как личность. Часть персональных данных личность обязана сообщить в обязательном порядке, в то время как некоторые данные действующее законодательство Российской Федерации (РФ) не обязывает сообщать. Предоставлять такие данные о себе или нет – решать только самому человеку, при этом ему необходимо учесть те возможности которые или могут перед ним открыться в случае предоставления либо, напротив, непредоставления им своих персональных данных, а также учесть реализацию им предоставленных ему прав и исполнение возложенных обязанностей.
Немалое количество персональных данных о себе должно предоставить лицо, которое претендует на поступление на работу на какую-либо должность. Все эти данные лицо должно предоставить непосредственно при приеме на работу, при собеседовании, при заполнении анкеты или иных документов, в которых имеются разделы относительно данных человека, в том числе аспекты его личной жизни.
Представляется, что любой работодатель, принимая гражданина к себе на работу, максимально является заинтересованным в получении достаточно полной информации персонального характера об этом лице.
Любому работодателю важно знать всю необходимую информацию о лице, с которым намеревается заключить трудовые отношения. В то же время, работодатель заинтересован и в той информации относительно кандидата в работники, которая не имеет никакого отношения к будущим трудовым отношениям. Отсутствие критерия разграничения такой информации персонального характера является в определенном роде «камнем преткновения», т.к. отсутствие такого критерия не позволяет определить степень возможного вмешательства и пределы вторжения в частную жизнь работника. На наш взгляд, такое положение вещей ведет к ситуации, когда невозможно реализовать положения закона, определяющие порядок и условия сбора, хранения, использования и распространения соответствующей информации в трудовой сфере.
Трудовым кодексом РФ (ТК РФ) в главе 14 «Защита персональных данных работника» работодателю разрешено получать, хранить, обрабатывать, использовать персональные данные нанятого им работника. Законодатель установил общие требования к обработке персональных данных работника и определил гарантии их защиты.
«В современных социально-экономических условиях в связи с формированием в стране рыночной экономики и обострением социальных проблем роль защиты персональных данных работника значительно возрастает. В литературе вопросы охраны персональных данных работника уже подвергались научному анализу, однако в настоящее время все еще остается потребность в системном изучении этого института отечественного трудового права» .
Все сказанное выше, на наш взгляд, обусловливает актуальность выбранной темы.

 

Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым Кодексом и другими федеральными законами;5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами;6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом и иными федеральными законами;8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;9) работники не должны отказываться от своих прав на сохранение и защиту тайны;10)работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.Важно подчеркнуть, что персональные данные работника могут собираться и обрабатываться работодателем только лишь с целью обеспечения прав и свобод человека. В ст. 86 ТК РФ законодателем урегулированы более конкретные цели обработки персональных данных непосредственно самого работника. Пункт 1 ст. 86 ТК РФ устанавливает более конкретизированные цели обработки персональных данных работника. Работа с ними осуществляется работодателем не только напрямую в целях обеспечения личной безопасности работников, содействия работникам в трудоустройстве, обучении и продвижении по службе, но также и в целях оптимального исполнения работодателем своих обязанностей перед работником, а также с целью обеспечения контроля количества и качества выполняемой работы и, конечно же, обеспечения сохранности имущества. Представляется, что в этом случае речь идет непосредственно об обеспечении сохранности имущества самого работодателя. Такая цель работодателем достигается различными способами, к примеру, при получении информации о приговоре в отношении работника, который в соответствии с решением суда лишен права заниматься деятельностью, которая связана непосредственно с занимаемой им должностью и которая связана с обслуживанием денежных, товарных ценностей либо другого имущества. Необходимо подчеркнуть, что в трудовом законодательстве нет перечня, который содержит сведения относительного того, какую информацию имеет право собирать работодатель в отношении какого-либо работника. В данном случае законодатель отсылает к положениям Основного закона РФ, ТК РФ, а также к другим ФЗ, которые непосредственно регулируют рассматриваемый вопрос.Небезызвестно, что работодатель не имеет права в соответствии с действующим законодательством получать никаких данных относительно политических, религиозных и других убеждениях работника, равно как и о его частной жизни. Такое правило введено с целью защиты работника от любой возможной в отношении него дискриминации, которая может быть осуществлена как по причинам его личных убеждений, так и из-за особенностей его частной жизни, к примеру, его сексуальной ориентации. Безусловно, такая информация, как и любая другая, которая относится к его политическим или религиозным убеждениям зачастую может все-таки иметь огромное и важное значение для того, чтобы заключить или не заключить с таким работником трудовой договор. Например, если трудовая функция работника заключается в том, чтобы принимать участие в совершении каких-либо религиозных обрядов, которые осуществляются лицами, которые в свою очередь исповедуют определенную религию или над которыми был совершен определенный религиозный обряд, то в таком случае работодатель должен обладать всей необходимой информацией о религиозных убеждениях его работника.«Любые данные о частной жизни работника, работодатель вправе получить только лишь с его личного согласия. Зачастую работник предоставляет о себе необходимые данные непосредственно с целью реализации его личных прав и интересов».Информация о частной жизни работника представляет собой информацию о семейных обязанностях работника, а также о его детях. Очень часто работодатель получает информацию о частной жизни работника уже от третьих лиц. К примеру, правоохранительные органы имею право требовать от работодателя отстранить от работы работника, который выполняет воспитательные функции в отношении детей, в случае совершения последним незаконных действий, которые содержат все признаки преступного деяния. В таком случае все данные о личной жизни работника имеют огромное значение для предварительного следствия, поэтому могут быть использованы работодателем и без письменного согласия на то работника.Необходимо отметить, что все базы данных, которые хранятся непосредственно в электронном виде, чаще, чем информация, которая хранится на бумажном носителе, подвергается незаконному внедрению. Мы считаем, что в таких случаях необходима сверка всех данных, которые находятся в электронном виде и на бумажном носителе. Точность таковых данных может быть подтверждена исключительно подписью самого работника.В любой организации защита всех персональных данных любого работника от их неправомерного использования либо утраты принадлежи непосредственно самому работодателю предприятия и осуществляется им в соответствии с ТК РФ и ФЗ «О персональных данных». В любой организации порядок получения, хранения, передачи, а также любого использования персональных данных работника должен быть зафиксирован в специальном локальном нормативном акте (актах). Такой порядок может быть усыновлен работодателем в коллективном договоре этой организации как приложение к нему, а также непосредственно в приказе самого работодателя. Все работники в обязательном порядке со всеми документами, касающимися их персональных данных, должны быть ознакомлены под роспись.«Несмотря на то, что защита персональных данных работника от их неправомерного использования либо утраты возложена непосредственно на его работодателя, работники и их представители также принимают участие в создании системы защиты персональных данных. Участие работников и их представителей в выработке мер защиты персональных данных позволяет установить наиболее стройную систему охраны информации о работнике, повысить уровень информированности работников о деятельности работодателя по защите персональных данных работника, а также способствует увеличению степени ответственности тех работников, которые в силу своей трудовой функции участвуют в обработке персональных данных». Работники, имеющие доступ к персональным данным сотрудников конкретного предприятия, являются сотрудники отдела кадров.При работе с персональными данными все работники, которые имеют к ним доступ, должны соблюдать некоторые принципы по защите таких персональных данных. К таковым принципам относятся:1. Необходимой является личная ответственность непосредственно руководства организации, а также всех работников отдела кадров за сохранность и конфиденциальность сведений о работе отдела и персональных данных работника, равно как и о носителях таковой информации;2. все персональные данные работников предприятия необходимо разделить между всеми руководителями и сотрудниками отдела кадров;3. в обязательном порядке должен быть постоянный доступ ко всем документам, которые содержат сведения о персональных данных, как со стороны руководства предприятия, так и со стороны работников отдела кадров;4. необходимы проверки по поводу наличия всех необходимых документов, дел и баз данных у работников отдела, а также кадровых документов во всех подразделениях предприятия.Между работниками отдела кадров должны быть распределены функции относительно всех документов. Ни одно постороннее лицо не должно владеть информацией относительно распределения функций между работниками отдела кадров, а также всей технологией составления, оформления, ведения и хранения всех персональных данных. Посторонними лицами в данном случае являются не только лишь лица, которые не являются сотрудниками данной организации, но и непосредственно сами сотрудники, обязанности которых в этой организации никоим образом не связаны с работой отдела кадров. Руководитель организации должен издать соответствующий приказ о закреплении за работниками отдела кадров тех документов, которые являются необходимыми для обеспечения всех функций, которые они должны выполнять согласно должностным инструкциям. Должна также быть схема доступа работников отдела кадров и всего руководящего состава предприятия, структурных подразделений к документам отдела, введена личная ответственность указанных должностных лиц и работников за сохранность и конфиденциальность персональных данных.«В случае необходимости перераспределения обязанностей среди работников отдела (к примеру, в случае болезни) должно издаваться соответствующее распоряжение начальника отдела кадров, в котором регламентируется характер таковых изменений, их срок и дополнения к документам, делам и базам данных».Существуют определенные особенности обработки и хранения документов, которые необходимо соблюдать работникам, которые имеют доступ к персональным данным.Все приказы по личному составу должны составляться и храниться непосредственно в отделе кадров, но никак не в отделе делопроизводителей.После проведения с работником собеседования, тестирования или анкетирования, все материалы с результатами не должны храниться в личном деле этого работника, они должны быть помещены в специальное дело с грифом «Строго конфиденциально». Это объясняется тем, что такого рода материалы раскрывают некоторые моральные и личные качества работника, что при разглашении может быть полезным для определенных действий со стороны злоумышленника.Все материалы тестирования тех сотрудников, которые работают в данной организации, также должны храниться в специальном деле с грифом «Строго конфиденциально». В том случае, если данные материалы берутся из дела для какой-либо цели, в описи дела необходимо сделать соответствующую запись, в которой указать основания изъятия этих документов и новое их местонахождение. Документ, который изымается необходимо откопировать, после чего копию подшить на место изъятого документа. Отметка в описи и копия должны быть заверены начальником и работником отдела кадров. Заменять указанные документы посторонним лицом запрещено. В случае помещения в дело новых исправленных документов, они должны быть подшиты к ранее подшитым документам.Отметим, что особому контролю подлежит также работа со справочно-информационным банком данных по персоналу организации, т.е. с карточками, журналами и книгами персонального учета сотрудников.В обязательном порядке специальным лицом должно контролироваться: кто, когда, для чего и какую информацию запрашивает в отделе кадров или у специально уполномоченного на то лица по указанным документам. В том случае если работа с такими документами уже закончена, важно определить порядок их дальнейшего хранения и кто будет нести ответственность за их сохранность и конфиденциальность.Все картотеки, учетные журналы и книги учета должны храниться в металлических шкафах, которые обязательно должны закрываться. Трудовые книжки подлежат хранению в сейфе».По общему правилу персональные данные работника не могут быть переданы третьей стороне. Исключением из данного правила являются: выдача работником письменного согласия на передачу персональных данных третьей стороне; передача персональных данных работника в целях предупреждения угрозы жизни и здоровью самого работника; случаи, установленные федеральным законом.Также согласно ст. 88 ТК РФ работодатель должен соблюдать такие требования, как:- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);- осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;- передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными ФЗ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.«Получателями персональных данных работника на законном основании являются: Фонд социального страхования РФ, Пенсионный фонд РФ, налоговые органы, Федеральная инспекция труда, а также другие органы государственного надзора и контроля за соблюдением законодательства о труде, органы исполнительной власти и профессиональные союзы, которые участвуют в расследовании несчастных случаев на производстве».Конвенция о защите физических лиц при автоматизированной обработке персональных данных 1981 г. предусматривает предоставление любому лицу следующих прав в области защиты персональных данных: а) быть осведомленным о существовании базы персональных данных и ее главных целях; б) периодически и без излишних затрат времени или средств обращаться с запросом о том, накапливаются в базе данных касающиеся его персональные данные, и получать информацию о таких данных в доступной форме; в) требовать уточнения или уничтожения таких данных, если они были обработаны с нарушением положений национального права; г) прибегнуть к судебной защите нарушенного права, если его запрос или требование о предоставлении информации, уточнении или уничтожении данных не были удовлетворены. Отметим, что общие права субъекта персональных данных сформулированы в гл. 3 ФЗ «О персональных данных», а также в ст. 89 ТК РФ.Подчеркнем, что также некоторые права граждан относительно обработки персональных данных могут также регулироваться и федеральным законодательством РФ. Так, к примеру, ФЗ «О государственной гражданской службе Российской Федерации» предоставляет гражданскому служащему право «на ознакомление со всеми материалами личного дела, отзывами о своей деятельности и другими документами до внесения их в личное дело, приобщение к личному делу своих объяснений, защиту сведений о гражданском служащем».Несомненно, каждый работник имеет право получить любую информацию о своих персональных данных и соответственно об их обработке. Работодатель в свою очередь обязан ознакомить работника со всеми такими данными, которыми он владеет, равно как и со всеми правами и обязанностями работника относительно защиты его персональных данных. Так, к примеру, согласно п. 12 «Правил ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей» «работодатель обязан ознакомить работника с каждой вносимой в трудовую книжку записью о выполняемой работе, переводе на другую постоянную работу и увольнении под расписку в его личной карточке».Реализуя свое личное право на информацию о персональных данных, работники имеют право требовать от работодателя предоставить им свободный и бесплатный доступ к таким сведениям. Работодатель обязан предоставить такой доступ к персональным данным работнику или же его законному представителю либо пи личном обращении, либо при получении на предоставление таких сведений соответствующего запроса. Лучше установить порядок доступа работника и его законного представителя к своим персональным данным в конкретном локальном нормативном акте, который бы и определял порядок обработки персональных данных работника, а также их защиту. При этом в таком акте не должна нарушаться свобода работника на доступ к своим персональным данным. «Целесообразным было бы установление обязанности работодателя обеспечить работнику доступ к данным о себе не позднее, чем на следующий рабочий день после обращения работника к работодателю с таким вопросом».Согласно ст. 62 ТК РФ работодатель обязан выдать работнику копии документов, связанных с работой, не позднее трех рабочих дней со дня подачи письменного заявления о выдаче этих документов. В соответствии со ст. 89 ТК РФ работник имеет право самостоятельно определять своих представителей для защиты своих персональных данных. Чаще всего, все функции представительства работника перед работодателем по всем вопросам, равно как и по вопросам защиты персональных данных работника, осуществляются профсоюзами.Важно отметить, что работник имеет право также определить и иного представителя, которым может выступать как физическое, так и юридическое лицо, а также защищать свои права самостоятельно. Согласно ст. 22 ФЗ «Об основах охраны здоровья граждан в Российской Федерации» каждый имеет право получить в доступной для него форме имеющуюся в медицинской организации информацию о состоянии своего здоровья…. В соответствии со ст. 89 ТК РФ работник имеет право на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору. Отметим, что исследовать материалы относительно здоровья работника помимо самого работника вправе также специалист с медицинским образованием, который был выбран самим работником непосредственно с такой целью.Так, работник, который увидел неточность либо неполноту всех его персональных данных, которые обрабатываются работодателем, имеет право потребовать от последнего внести соответствующие изменения, исправления либо дополнения в эти персональные данные, а также требовать об их исключении из обработки.Предъявить подобного рода требования работник вправе в любой форме, т.к. законодателем такая форма обращения не установлена. На наш взгляд, целесообразнее было бы выдвигать подобного рода требования только в письменном виде, т.к. в дальнейшем возможно обжалование как неправомерных действий со стороны работодателя, так и его бездействий.Оценка качества обрабатываемых персональных данных работником и работодателем могут не совпадать. Это может быть обусловлено как неправомерными действиями работодателя (например, сокрытие информации о несчастном случае на производстве), работника (предъявление работодателю неполной информации о себе), так и действиями третьих лиц, представивших работодателю недостоверную или неточную информацию о конкретном работнике». Подчеркнем, что работодатель обязан известить работника о внесении в его персональные данные каких-либо изменений либо известить об исключении части персональных данных из обработки.