4. Защита персональных данных работника
Конституция РФ признает человека, его права и свободы высшей ценностью. Кроме того, признание, соблюдение и защита указанных прав являются обязанностью государства *(131). Среди основных прав и свобод человека, реализуемых им в процессе трудовой деятельности можно выделить достоинство личности, право на свободу и личную неприкосновенность, запрет на хранение, использование и распространение информации о частной жизни без согласия гражданина и другие. Правовое регулирование указанных конституционных положений осуществляется специальной главой ТК РФ (Гл. 14 Защита персональных данных работника»), посредством введения термина «персональные данные работника».
Под персональными данными работника следует понимать информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника, а под обработкой персональных данных работника — получение, хранение, комбинирование, передачу или любое другое использование персональных данных работника.
ТК РФ предъявляет общие требования при обработке персональных данных работника и гарантии их защиты. Среди них следует выделить:
2) при определении объема и содержания, обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом;
8) работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Хранение и использование персональных данных работников. Порядок хранения и использования персональных данных работников в организации устанавливается работодателем с соблюдением требований ТК РФ. Представляется, что такой порядок должен быть закреплен в локальных нормативных актах, например «Положении о защите персональных данных работников».
Передача персональных данных работника. Зачастую в процессе трудовой деятельности возникает потребность в передаче персональных данных работника. Такие случаи могут возникать при переводе работника от одного работодателя к другому, в процессе трудоустройства работника, реализации запросов государственных органов. В этом случае при передаче персональных данных работника работодателем должны быть выполнены следующие правила:
1) не сообщать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
2) не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
3) предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
4) осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку;
5) разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
6) не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
7) передавать персональные данные работника представителям работников в порядке, установленном ТК РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Права работников по защите персональных данных, хранящихся у работодателя. Существенным условием трудового договора являются права и обязанности его сторон, однако следует подчеркнуть, что в рассматриваемой сфере права и обязанности носят корреспондирующий характер: права работника являются одновременно обязанностью работодателя. Для работника основными правами по защите персональных данных будут являться:
1) полная информация о персональных данных и обработке этих данных;
2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
3) определение своих представителей для защиты своих персональных данных;
4) доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
5) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
6) требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
7) обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
Трансформация основных прав и свобод человека и гражданина в персональные данные работника и их правовое закрепление в ТК РФ, позволяют говорить о юридической ответственности за нарушение норм, регулирующих обработку и защиту персональных данных работника. Такая ответственность не ограничивается нормами трудового законодательства. Именно поэтому лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами. Порядок, условия и основания такой ответственности предусмотрен нормами соответствующего законодательства РФ.