Защита персональных данных сотрудников

За нарушение законодательства о защите персональных данных работников работодатель может быть привлечен к серьезной ответственности. Чтобы этого избежать, работодатель должен строго исполнять требования законодательства о защите персональных данных работника. 
Вопросы защиты персональных данных работников регулируются в первую очередь Трудовым кодексом РФ и Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. от 23.07.2013).
Поскольку трудовые отношения предполагают обработку персональных данных работника работодателем, то еще при приеме на работу новичка оформляют ряд документов, связанных с защитой персональных данных работников.
Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Во исполнение данного требования при приеме работника работодатель знакомит его под роспись с локальным нормативным актом, определяющим порядок обработки персональных данных работников, его права и обязанности в этой области.
Согласно п. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Согласно ст. 9 данного закона субъект персональных данных (в нашем случае – работник) принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Согласно п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
При приеме работника на работу у него берут согласие на обработку его персональных данных (содержание согласия должно соответствовать требованиям 
ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» ), работника уведомляют, какие его данные можно получить у третьей стороны, и получают согласие работника на получение его персональных данных у третьего лица. 
Как правило, персональные данные нового работника вскоре сообщаются так называемым третьим лицам: в пенсионный фонд, фонд социального страхования, иные государственные органы, организации, ведущие бухгалтерское, кадровое, информационное сопровождение «на аутсорсе» (фирмы 1С-франчайзи), помещаются на сайт работодателя на страницу «Наши сотрудники» (когда речь идет о руководителях или менеджерах по работе с клиентами), включаются во внутренние телефонные справочники компании и др. 
Согласно ст. 88 ТК РФ работодатель не может сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами. Таким образом, работодатель должен взять у работника письменное согласие на сообщение его персональных данных третьей стороне (тем организациям, лицам, которым по закону без согласия работника передавать такие данные нельзя).
Что касается публикации персональных данных работников в общедоступных источниках (на сайте, в телефонном справочнике), то особо отметим, что согласно ст. 8 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
 
Работодатель должен защищать персональные данные работников.
Согласно п. 10 ст. 86 ТК РФ работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. На практике реализация данной нормы может выглядеть следующим образом. Сотрудники отдела кадров, бухгалтерии, юридического отдела и администрации компании обсуждают и вырабатывают меры защиты персональных данных. Данные меры обсуждаются с представительным органом работников, в маленьких организациях можно обсудить со всеми работниками. Меры описываются в локальном нормативном акте работодателя, регулирующем обработку персональных данных работников, который принимается с учетом мнения представительного органа работников.
Статьи 18.1 и 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» регулируют вопросы принятия мер, направленных на защиту персональных данных.
Как следует из ст. 19, работодатель при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Как следует из ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» работодатель обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных нормативными правовыми актами о защите персональных данных. К таким мерам могут, в частности, относиться:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику работодателя в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных нормативным правовым актам, политике работодателя в отношении обработки персональных данных, локальным актам работодателя;
5) оценка вреда, который может быть причинен работникам в случае нарушения настоящего законодательства о защите персональных данных, соотношение указанного вреда и принимаемых работодателем мер;
6) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику работодателя в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Работодатель ведет учет лиц, допущенных к работе с персональными данными.
Работодатель обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. 
Работодатель, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
 
***
 
Если принимается на работу сотрудник, которому будет доверена обработка персональных данных работников, то работодателю нужно учитывать следующее.
Обязанности, связанные с обработкой персональных данных работников, прописывают в трудовом договоре, должностной инструкции такого сотрудника.
В соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» производится назначение ответственного за организацию обработки персональных данных. Такое назначение традиционно оформляется приказом. 
Также в соответствии со ст. 18.1 работника, который будет непосредственно осуществлять обработку персональных данных, нужно:
– ознакомить с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, 
– ознакомить с документами, определяющими политику работодателя в отношении обработки персональных данных, 
– ознакомить с локальными актами по вопросам обработки персональных данных, 
– обучить работе с персональными данными и режиму защиты персональных данных.
Согласно п. 4 ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением работодателем и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.