Работа – важная часть жизни любого человека, а работодатель – «отец родной», знающий о тебе чуть больше, чем все, включая анкетные данные ближайших родственников. Поэтому, когда дело доходит до разборок и судов, многие испытывают страх за те сведения, которые когда-то сами же добросовестно передали в отдел кадров: где учились, на ком женились, адреса, пароли, явки.
Летом 2022 года президент России Владимир Путин поручил правительству до 15 ноября создать механизм, позволяющий гражданам через портал «Госуслуги» предоставлять и отзывать согласие на обработку персональных данных. Он должен позволять видеть, кому и когда были переданы персональные данные, кто и когда их запрашивал, отзывать свое согласие на их обработку и контролировать удаление из различных баз.
О том, как обезопасить себя и свою личную жизнь от недобросовестных действий работодателя рассказали эксперты Профсоюза работников торговли и услуг.
Персональные данные
Закон «О персональных данных» определяет, что это «любая информация», прямо или косвенно относящаяся к некоему физическому лицу, который именуется «субъектом персональных данных». Других уточнений в законе нет. Однако, формальная логика подсказывает, что сюда относится абсолютно все, что есть на каждого из нас у работодателя: фамилия, имя отчество, адрес, сведения об образовании, семейном положении, воинской обязанности, телефоны, адреса электронной почты и многое другое (тот же банковский счет, на который перечисляется зарплата, не говоря уже о паспортных данных, ИНН, СНИЛС и других документах).
Поэтому в Трудовом кодексе есть целая глава, посвященная правилам хранения, обработки и передачи третьим лицам в случае необходимости персональных данных сотрудников.
В 86-й статье ТК РФ закреплено, что обработка персональных данных может осуществляться только для соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества проделанной работы и обеспечения сохранности имущества. Все, что выходит за рамки этих целей, оказывается вне закона.
Все необходимые персональные данные работодатель обязан получить у самого работника. В случае, если их нужно запросить у третьей стороны (например, в военкомате или вузе), работник должен об этом знать и дать на такое получение данных письменное согласие.
Специальные данные
В законе «О персональных данных» перечислены особые сведения, которые входят в категорию специальных и не подлежат сбору и обработке. Это данные о расовой и национальной принадлежности человека, его политических взглядах, религиозных и философских убеждений, состояния здоровья, интимной жизни.
Единственное исключение – если работник сам дал согласие на обработку таких сведений, причем в письменной форме. Данные о здоровье можно обрабатывать, но только обезличено. Это может делаться с целью повышения эффективности государственного или муниципального управления, деятельности хозяйствующих субъектов, развития искусственного интеллекта.
Примечательно, что 86 статья ТК РФ запрещает работодателю запрашивать и обрабатывать данные о членстве работника в общественных объединениях и профсоюзных организациях, а также основываться на этих данных при принятии решений, затрагивающих интересы работника.
Однако, эта же статья указывает, что меры защиты персональных данных от неправомерного использования или утраты на предприятии должны выработать работодатели, работники и их представители совместно. При этом такая защита должна быть обеспечена за счет средств работодателя.
Хранение и использование
Трудовой кодекс подчеркивает, что работники и их представители – читай, профсоюз – должны быть под роспись ознакомлены с документами, которые устанавливают порядок обработки персональных данных работников, а также определяют их права и обязанности.
Согласно постановлению правительства РФ от 01.11.2012 № 1119, персональные данные можно хранить на флешках или жестких дисках, в том числе на сервере компании или в облачном хранилище.
При этом в законе «О персональных данных» уточняется, что срок хранения данных ограничен временем их обработки, после чего их нужно обезличить или уничтожить.
Базы персональных данных, созданные для разных целей, нужно хранить раздельно и объединять их нельзя. Это значит, что информацию из одной базы данных – к примеру, о месте жительства сотрудников, - нельзя объединять с данными об их зарплатных банках или прохождения медкомиссий.
Закон «Об информации, информационных технологиях и о защите информации» уточняет, что серверы, на которых хранятся персональные данные, должны быть размещены в запертом помещении, а доступ к ним должен быть только у тех сотрудников, у которых есть право получать доступ к персональным данным – например, у системных администраторов.
Серверы при этом должны быть оборудованы антивирусом и межсетевым экраном и отвечать требованиям приказа Федеральной службы по техническому и экспортному контролю о технических мерах по обеспечению безопасности персональных данных.
Например, сервер должен быть оборудован системой обнаружения и предотвращения вторжений, системой контроля защищенности данных, защитой технических средств, средствами управления доступом. При этом для разного уровня данных требуется разный уровень защиты – для специальных и биометрических максимальный.
Поделиться
