Руководитель компании в силу трудовых отношений обладает довольно обширной и зачастую личной информацией о работниках, ведь уже в резюме соискатели перечисляют основные факты биографии, а при оформлении на должность приносят и подтверждающие документы. Контакты, семейный статус, наличие детей, образование, предыдущий опыт – не всегда человек хочет, чтобы по всем этим пунктам были осведомлены третьи лица. И что важно понимать предпринимателям: они не могут разглашать эти данные без достаточных к тому оснований.
Любые действия с информацией о работнике, будь то сбор, хранение, систематизация, передача третьим лицам, уничтожение и пр., должны совершаться на законных основаниях и с конкретной целью. И только данные, соответствующие заявленной задаче, подлежат обработке.
Сведения о сотруднике необходимо запрашивать у него самого. Если же они могут быть получены лишь у других, то следует заручиться письменным согласием на это непосредственного «объекта исследования» (п. 3 ст. 86 ТК РФ).
К персональным данным относятся:
|
Получение личной информации о человеке без его желания противозаконно. По крайней мере, для «простых смертных». А поскольку, согласно ч. 3 ст. 9 Закона о персональных данных, доказывать факт такого согласия должен работодатель, то следует заблаговременно получить этот документ в письменном виде.
Но следует учитывать, что работник в любой момент может отозвать своё разрешение на обработку личной информации, и тогда без повторно выданной бумаги собирать, систематизировать, распространять и совершать прочие действия с материалами о сотруднике уже нельзя. Кроме того, при коммуникации на эту тему с третьими лицами (запросе у них или передаче им данных о человеке) или при анализе таких категорий, как раса, вероисповедание, философские взгляды, интимная жизнь и прочих специальных моментов, придётся получить отдельное согласие, поскольку потребность в нём сложно предусмотреть заранее, а обработка этих данных должна быть немедленно прекращена, как только исчезает необходимость.
Составляя разрешение, следует указать цель обработки персональных данных, конкретный их перечень, а также срок, на который выдан документ. Разумеется, понадобится и такая основополагающая информация, как кем подписывается согласие и кому предоставляется.
Случаи, когда не требуется разрешение сотрудника:
|
Мы привыкли к технике, компьютерам, и вряд ли сегодня существует предприятие, на котором данные работников записывают вручную в журнал или систематизируют в иных рукописных таблицах. Однако если в обработке персональной информации участвует человек, то это считается деятельностью без использования средств автоматизации (п. 1 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 №687).
В этом случае оператор должен иметь чёткие указания относительно правил и целей обработки, конкретные инструкции по заполнению карточек, реестров, журналов и пр.
В соответствии со ст. 86 ТК РФ (п. 7) руководство компании ответственно за соблюдение конфиденциальности личных данных сотрудников. Как именно это будет обеспечиваться – решает начальник фирмы. Возможно, это будет сейф, отдельное помещение, запираемое на ключ, наличие охраны – так или иначе, следует позаботиться о том, чтобы третьи лица не могли получить неправомерный доступ к информации о работниках.
Также, обработка данных в наши дни, конечно, осуществляется при помощи компьютера. А это означает, что необходимо позаботиться и об электронной защите. Технический специалист фирмы должен руководствоваться при этом Требованиями, утверждёнными Постановлением Правительства РФ от 01.11.2012 №1119.
Помимо собственно личных дел сотрудников, компании следует завести журнал учёта их персональных данных, в котором отражать любые движения на эту тему: появление новых материалов, выдача бумаг по запросу, цели и срок пользования ими и пр. Вероятно, в хоть сколько-нибудь крупной фирме придётся издать и приказ с перечнем лиц, имеющих доступ к этой информации.
Как уже указывалось выше, на предприятии необходимо иметь систему защиты материалов о работниках. Порядок хранения документов следует прописать в соответствующем акте и ознакомить с ним персонал под подпись. Как правило, в этих целях оформляется Положение о персональных данных. Судебная практика считает его обязательным: отсутствие признаётся нарушением трудового законодательства (Постановление ФАС Московского округа от 26.10.2006 №КА-А40/10220-06 по делу №А40-20745/06-148-194).
Что следует прописать в Положении о персональных данных сотрудников:
|
Что же делать с внештатными сотрудниками? Оформление в рамках трудового законодательства порой невыгодно ни компании, ни работнику. Обычно такая ситуация выливается в договор подряда или оказания услуг – но означает ли это, что с защитой персональных данных можно не «заморачиваться»? К сожалению предпринимателей, нет.
Во-первых, Закон о персональных данных с одинаковой степенью относится ко всем категориям граждан и попросту дублирует многие положения Трудового кодекса, касающиеся защиты личной информации сотрудников. Во-вторых, гражданско-правовые отношения регулирует ГК РФ, п. 4 ст. 434.1 которого даёт сторонам возможность заранее обговорить моменты, являющиеся конфиденциальными.
Вместе с тем, надо учитывать, что при любой обработке персональных данных внештатников, выходящей за рамки необходимого для работы, необходимо уведомлять Роскомнадзор – трудовые отношения в этом смысле попадают в перечень исключений (ст. 22 Закона о персональных данных).
Повсеместное развитие Интернета позволило многим категориям специалистов работать дистанционно. Но как при этом оформлять документы (касающиеся, в частности, защиты персональных данных)?
Первое, что надо отметить: согласно ч. 3 ст. 312.1 ТК РФ, все положения кодекса распространяются и на удалённых сотрудников. Так что составлять придётся все бумаги, обычные для традиционной службы в офисе. Единственная «поблажка»: допусти́м обмен электронными документами, заверенными усиленной цифровой подписью (для физ.лиц это стоит порядка 1 тыс.руб. в год).
Однако многие ли дистанционщики обременяют себя получением ЭЦП? На практике стороны просто обмениваются сообщениями по электронной почте, но работодателю следует помнить: при подобной рассылке он не сможет доказать, что сотрудник ознакомлен с внутренними документами компании и согласие на обработку персональных данных отправил именно он.
Каждый человек, предоставляя информацию о себе, вправе рассчитывать, что она попадёт только конкретному адресату. В России нет традиции защищать личные границы людей: интересы государства на протяжении истории всегда были на первом месте. Но жизнь меняется, дополняется законодательство, и к этому следует привыкать, чтобы не упустить момент, когда за распространение данных о сотруднике будут наказывать мгновенно и всерьёз.
Юридическая фирма "Двитекс" с 2010 года защищает бизнес и помогает предпринимателям решать различные правовые задачи. Мы предлагаем комплексные услуги юристов для юридических лиц и индивидуальных предпринимателей. Помогаем зарегистрировать бизнес, готовим и анализируем договоры, готовим различные документы и отвечаем на претензии, защищаем интересы компаний в суде и взыскиваем задолженность, защищаем интеллектуальную собственность и недвижимость, сопровождаем сделки, консультируем предпринимателей по правовым вопросам и решаем другие юридические задачи компании. С практикой наших арбитражных юристов вы можете ознакомиться в разделе "Наш опыт".