Персональные данные в трудовом праве
Понятие персональных данных (далее — ПД) закреплено в ст. 3 закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее —
закон 152-ФЗ), который был принят в связи с ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (заключена в Страсбурге 28.01.1981 и ратифицирована РФ 07.11.2001).
Согласно данной норме, персональные данные — это любые сведения, которые прямо или косвенно относятся к физическому лицу. Физическое лицо, на которого распространяются требования закона 152-ФЗ, признается субъектом персональных данных.
В Трудовом кодексе персональным данным работника и их защите посвящена глава 14, регулирующая вопросы хранения, использования и передачи третьим лицам ПД работников организации, требования к этим действиям, а также ответственность работодателя за нарушение законодательства, регулирующего данную сферу.
Обработка данных работодателем
Обработка ПД работников должна осуществляться в соответствии со следующими основными правилами, установленными ст. 86 ТК РФ:
- обработка может осуществляться лишь в интересах сотрудников или в связи с осуществлением ими трудовой деятельности;
- ПД могут быть получены организацией только от своего сотрудника или на основании его письменного согласия от третьей стороны;
- финансовый источник организации защиты рассматриваемых данных — средства работодателя;
- не допускается отказ работника от своих прав на защиту ПД, отказ в любой форме не может рассматриваться как действительный;
- меры по защите ПД — вопрос совместной деятельности работника и работодателя.
Положение об обработке и защите персональных данных работников: содержание и образец
Обязанность предприятия иметь утвержденное положение о персональных данных работников следует из ст. 87 ТК РФ. Согласно данной норме, положение разрабатывается и утверждается работодателем самостоятельно. При этом оно должно отвечать требованиям Трудового кодекса и иных правовых актов в сфере защиты ПД и регулировать вопросы их хранения и использования.
Закон не устанавливает структуру документа, но практикой выработаны основные разделы, которые желательно указать в положении.
В их число входят:
- Вводная часть, отражающая основания принятия локального акта. В ней также перечисляются нормы законодательства, регулирующие вопросы обработки ПД, а также раскрываются основные понятия, используемые в Положении (можно взять из ст. 3 закона 152-ФЗ).
- Перечень сведений, составляющих ПД сотрудников фирмы.
- Перечень обрабатываемых организацией документов, в которых такие сведения содержатся.
- Правила обработки данных.
- Порядок получения доступа к ПД тех или иных лиц.
- Меры, направленные на защиту обрабатываемых данных.
- Права и обязанности сторон правоотношений в области работы с ПД.
- Ответственность организации за нарушения в сфере охраны и защиты ПД.
С положением о защите персональных данных работников необходимо ознакомить под расписку.
У нас вы можете скачать готовый образец положения о персональных данных в организации, актуальный на 2021 год:
Порядок принятия
Положение об обработке персональных данных работников является локальным актом организации, потому порядок его разработки и утверждения подчиняется общим требованиям ст. 8 ТК РФ, а также внутренним правилам делопроизводства.
Как правило, данный документ разрабатывается кадровой службой или работником, отвечающим за кадровые вопросы на предприятии. Утверждение его осуществляется приказом руководителя или иного лица, уполномоченного работодателем на издание локальных актов в сфере обработки и защиты ПД (например, курирующий заместитель руководителя).
Положение подписывается руководителем организации. Положению присваивается порядковый номер, на нем проставляется дата издания, а также печать (при ее наличии).
Ответственность работодателя
За нарушение установленных законом требований в области защиты ПД, на основании ст. 90 ТК РФ предусмотрены различные виды ответственности:
- материальная — при нанесении материального ущерба нарушениями в обращении с персональными данными (ст. 232, 233 ТК РФ);
- дисциплинарная — нарушитель может быть подвергнут актом руководителя дисциплинарному взысканию, такому как замечание, выговор, увольнение, на основании ст. 192 ТК РФ;
- гражданско-правовая ответственность — например, возмещение убытков по ст. 15 ГК РФ, компенсация морального вреда по ст. 151 ГК РФ;
- ответственность административного характера, предусмотренная ст. 13.11 КоАП РФ;
- уголовная ответственность — за нарушения, повлекшие серьезные или тяжкие последствия (например, публичное распространение частных данных), по ст. 137 УК РФ.
***
Подведем итоги:
- под понятие ПД подпадает любая информация, относящаяся к конкретному работнику;
- обработка данных осуществляется в соответствии со ст. 86 ТК РФ и требованиями внутреннего Положения организации;
- содержание Положения не устанавливается на законодательном уровне, но в силу закона оно должно регулировать порядок хранения и использования ПД;
- Положение является локальным (внутренним) документом, потому принимается по общим правилам принятия таких актов в организации (ст. 8 ТК РФ);
- за нарушение правил обработки и распространения ПД нарушитель несет различные виды ответственности (от дисциплинарной до уголовной).
***
Больше полезной информации по теме — в рубрике "Персональные данные".