Защита персональных данных работника

Для учета и последующего анализа степени осведомленности работников в секретах фирмы ведется специальная учетная форма.

Традиционная (карточная) или элек­тронная учетная форма должна содер­жать ряд предметных зон, позволяющих сопоставлять функциональные обязанно­сти сотрудника и состав конфиденциаль­ной информации, полученной сотрудни­ком, и который должен соответствовать выполняемым видам работы. Целесооб­разно включить в учетную форму сле­дующие зоны:

                         зона штатных функциональных обя­занностей работника, при реализации которых используется конфиденциаль­ная информация (по утвержденной дол­жностной инструкции);

                         зона изменений и дополнений, внесен­ных в функциональные обязанности ра­ботника, с указанием документа-основа­ния, его даты и фамилии руководителя, подписавшего документ;

                         зона стандартного состава конфиден­циальные сведений или их индексов, по перечню конфиденциальной информации фирмы, к которым допущен работник в соответствии с должностной инст­рукцией (с указанием наименования документа о допуске, его даты, номера и фамилии руководителя, подписавшего документ);

                         зона изменений и дополнений в соста­ве конфиденциальных сведений, к кото­рым допускается работник в связи с пе­ресмотром его должностных обязаннос­тей (с указанием наименований и дат документов о допуске, фамилий руково­дителей, подписавших документы);

                         зона документированной информации (документов), с которой знакомится или работает сотрудник, с указанием наиме­нований документов, их дат и номеров, краткого содержания, целевого исполь­зования содержащихся в документах конфиденциальных сведений или их ин­дексов по перечню, фамилий руководи­телей, разрешивших работу с докумен­тами;

                         зона недокументированной конфиден­циальной информации, которая стала из­вестна работнику, с указанием даты и цели ознакомления, фамилии руководи­теля, разрешившего ознакомление, со­става конфиденциальных сведений или их индексов по перечню;

                         зона обнаруженного несанкциониро­ванного ознакомления работника с кон­фиденциальной информацией с указани­ем даты ознакомления, условий или причин ознакомления, фамилии винов­ного работника, места ознакомления, со­става конфиденциальных сведений или их индексов по перечню.

Анализ осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциаль­ной информации, т.е. ведется поиск не­соответствия.

По фактам разглашения или утечки конфиденциальной информации, утраты документов и изделий, другим грубым нарушениям правил защиты информа­ции организуется служебное расследо­вание.

Служебное расследование проводит специальная комиссия, формируемая приказом первого руководителя фирмы. Расследование предназначено для выяс­нения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного фирме ущер­ба. По результатам расследования дают­ся рекомендации по устранению причин случившегося.

План проведения служебного рас­следования:

      определение возможных версий слу­чившегося (утрата, хищение, уничтожение по неосторожности, умышленная пе­редача сведений, неосторожное разгла­шение и т.д.);

      определение (планирование) конкрет­ных мероприятий по проверке версий (осмотр помещений, полистная провер­ка документации, опрос сотрудников, взятие письменного объяснения у подо­зреваемого лица и т. д.);

      назначение ответственных лиц за про­ведение каждого мероприятия;

      указание сроков проведения каждого мероприятия;

      определение порядка документирова­ния;

      обобщение и анализ выполненных  действий по всем мероприятиям;

      установление причин утраты инфор­мации, виновных лиц, вида и объема ущерба;

      передача материалов служебного рас­следования с заключительными вывода­ми первому руководителю фирмы для принятия решения.

При проведении служебного рассле­дования все мероприятия обязательно документируются в целях последующего комплексного анализа выявленного фак­та. Обычно анализируются следующие виды документов:

        письменные объяснения опрашивае­мых лиц, составляемые в произвольной форме;

        акты проверки документации и поме­щений, где указываются фамилии прово­дивших проверку, их должности, объем и виды проведенного осмотра, результа­ты, указываются подписи этих лиц и Дата;

        другие документы, относящиеся к рас­следованию (справки, заявления, планы, анонимные письма и т. д.).

Служебное расследование проводит­ся в кратчайшие сроки. По результатам анализа составляется заключение о ре­зультатах проведенного служебного рас­следования, в котором подробно описы­вается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего.

             Можно так же выделить, что  виновные в нарушении установленных норм, регулирующих получение, обработку и защиту персональных данных работников, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность. Санкции, предусмотренные за нарушение законодательства по охране персональных данных работника достаточно адекватны и соответствуют мере правонарушения. Но санкции скорее восстанавливают справедливость, нежели снижают количество правонарушений.

Заключение

          Исходя из вышеизложенного можно сделать вывод, что сегодня многие предприятия, стремясь обеспечить информационную безопасность своей коммерческой деятельности, подкрепляют формальные меры (такие как подписание договоров о неразглашении информации) практическими мероприятиями охранного характера, в рамках которых тем или иным образом нарушается неприкосновенность частной жизни работников. И здесь интересы бизнеса могут вступать в конфликт с принципом недопустимости вмешательства в частную жизнь.

        Конституция РФ закрепила свободу поиска, получения, передачи, производства и распространения информации (ч. 4 ст. 29), гарантировала право на неприкосновенность частной жизни, личную, семейную тайну, тайну сообщений и запретила распространение информации о частной жизни лица без его согласия (ст.ст. 23, 24). Жизнедеятельность человека предполагает предоставление информации о себе другим членам общества. Отношения по предоставлению и охране информации регулируются нормами российского права.

Таким образом, проанализировав ситуацию по поводу охраны персональных данных работника, можно сказать, личная тайна работника охраняется законом на самом высоком уровне. Законодатель предусмотрел практически все необходимые нормы для защиты этой категории правоотношений. Однако следует заметить, что основным источником правонарушений в области охраны персональных данных персонала служит неграмотность работников кадровых служб в указанных вопросах, вызванная, тем, что нормативно не отрегулирован порядок организации деятельности по сохранности персональных данных в организациях и на предприятиях. Не существует обязательных правил хранения персональных данных. Конечно, нельзя не сказать, что Рострудинспекция при проведении проверок требует очень веские доказательства сохранности указанных сведений. Нормы главы 14 Трудового кодекса «Защита персональных данных работника» носят скорее инструктивный характер, регламентируют сбор и хранение информации о работнике. Все механизмы сбора информации о работниках должны применяться только на основании принятых в надлежащем порядке внутриорганизационных норм. Использование видеонаблюдения, прослушивания, контроля за перепиской, контроля за перемещениями работников по предприятию и других мер должно быть урегулированы правилами внутреннего распорядка или специальным регламентом. Этот документ должен быть доступен всем работникам предприятия. Все меры наблюдения и контроля, не урегулированные таким документом, могут рассматриваться работниками как незаконное вторжение в их частную жизнь. Если на предприятии действует служба безопасности (как обособленное подразделение), ее права следует четко указать в уставе этого подразделения, который должен быть согласован с органами внутренних дел (ст.14 Закона РФ «О частной детективной и охранной деятельности в РФ»).       Необходимо получать согласие работников на ограничения их приватности. Это можно зафиксировать непосредственно в трудовом договоре. Однако работник, приступающий к работе, в любом случае должен подписать документ о согласии на применение мер наблюдения или контроля; его следует под расписку ознакомить с действующими правилами сбора и обработки персональных данных. Следует учесть также, что такие нематериальные блага, как честь и достоинство, личная и семейная тайна, являются неотчуждаемыми (ст. 150 ГК РФ, п. 9 ст. 86 ТК РФ); следовательно, согласие на применение мер, ущемляющих честь и достоинство работника и ограничивающих его право на тайну, будет в случае конфликта признано недействительным.

       Собираемая информация должна касаться исключительно служебной деятельности работника и не затрагивать его частную жизнь. Помимо обеспечения интересов работника, целью сбора персональных данных может быть лишь контроль за количеством и качеством работы, а также за сохранностью имущества. Поэтому, например, контроль за электронной перепиской со служебного электронного адреса, хотя и допустим, но все же должен ограничиваться регистрацией адресатов и не касаться содержания пересылаемых сообщений. Это же касается телефонных линий и других средств сообщения. Использование служебного имущества и служебных средств связи в личных целях может повлечь дисциплинарное взыскание, но работодатель не вправе на этом основании вмешиваться в личную жизнь работника. Любую информацию о работнике необходимо получать из законных источников. Законным источником, согласно п. 3 ст. 86 ТК РФ, является или сам работник, или такой источник, на обращение к которому он дал согласие. Следовательно, информация о работнике, полученная работодателем случайно из сторонних источников, не может быть включена в состав персональных данных; она не может обрабатываться, храниться на предприятии и тем более не может передаваться третьим лицам.

          Большое значение имеет то, как работодатель относится к конституционным правам своих работников. Ведь только администрация предприятия или организации в состоянии вести непрерывный контроль за соблюдением установленного порядка осуществления защиты персональных данных работников.

Примеры Судебной практики  персональных данных работника

Одним из видов административных правонарушений, допускаемых работодателями, являются нарушения, связанные с хранением и обработкой персональных данных работников.

Согласно ст. 85 ТК РФ персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Общие требования при обработке персональных данных работника и гарантии их защиты, хранение и использование персональных данных, их передача, права работников в целях обеспечения защиты данных, хранящихся у работодателя, установлены ст. ст. 86 - 89 ТК РФ.

Именно нарушения, допускаемые при обработке персональных данных, порой становятся предметом пересмотра административных дел в арбитражных судах.

В судебной практике есть случаи, когда кассационные инстанции при проверке законности и обоснованности решений (определений, постановлений) арбитражных судов, вступивших в законную силу, отказывают заявителям в удовлетворении требований об отмене постановлений о привлечении их к административной ответственности за нарушение трудового законодательства, связанной с защитой персональных данных работников.

Пример 1. ООО "НЭФКО-Центр" (заявитель) обратилось в Арбитражный суд г. Москвы с заявлением о признании незаконным и отмене постановления Государственной инспекции труда г. Москвы (инспекция) от 21.03.2006 N 849/17 о привлечении заявителя к административной ответственности, предусмотренной ч. 1 ст. 5.27 КоАП РФ.

Арбитражный суд Решением от 09.06.2006 заявленное требование удовлетворил.

Девятый арбитражный апелляционный суд Постановлением от 24.08.2006 отменил принятое по делу судебное Решение, так как суд первой инстанции не рассмотрел дополнительное требование заявителя о признании незаконным и об отмене предписания инспекции от 21.03.2006 N 849/17 об устранении нарушений трудового законодательства.

Рассмотрев заявленные заявителем требования в полном объеме, апелляционный суд Постановлением от 24.08.2006 отказал в их удовлетворении.

Не согласившись с принятым по делу Постановлением суда апелляционной инстанции, заявитель подал кассационную жалобу, в которой просил Постановление отменить как незаконное, оставив в силе Решение суда первой инстанции. При этом заявитель сослался на ошибочность вывода суда о соблюдении инспекцией установленного КоАП РФ порядка привлечения к административной ответственности.

В судебном заседании представитель инспекции просил кассационную жалобу отклонить, считая принятое по делу Постановление апелляционного суда соответствующим законодательству и имеющимся в деле доказательствам.

Как установлено судами, по жалобе гражданина П. инспекция в период с 07.04.2006 по 17.04.2006 провела проверку заявителя, в ходе которой выявила ряд нарушений законодательства о труде, как то:

- в нарушение требований ст. ст. 86, 87, 88 ТК РФ работники и их представители не были ознакомлены под расписку с локальным нормативным актом, устанавливающим порядок обработки персональных данных работников;

- работодатель не выдал трудовую книжку П. в день его увольнения, что является нарушением ч. 2 ст. 62 ТК РФ.

По данному факту инспекцией 21.03.2006 был составлен протокол об административном правонарушении N 849/17 и вынесено предписание об устранении выявленных нарушений трудового законодательства. Постановлением от 21.03.2006 N 849/17 инспекция привлекла заявителя к административной ответственности, предусмотренной ч. 1 ст. 5.27 КоАП РФ, в виде штрафа в размере 30 000 руб.