УДК 34.08

Возникающие проблемы при отработке персональных данных работников

Курикалова Юлия Сергеевна – магистрант Тихоокеанского государственного университета.

Степенко Артем Валерьевич – кандидат юридических наук, доцент Тихоокеанского государственного университета.

Аннотация: Актуальность: защита данных сотрудников становится все более важной для организаций, которые стремятся соблюдать глобальные законы о конфиденциальности. Это оказывает давление на отдел кадров всех организаций, требуя от них ответственного хранения данных своих сотрудников. В этой статье рассказывается о распространенных заблуждениях работодателей в отношении защиты персональных данных сотрудников. Затем в нем рассматриваются современные правила конфиденциальности, за которыми следует обзор обязательств работодателя на протяжении всего жизненного цикла сотрудника.

Цель: анализ и классификация угроз, возникающих при работе с персональными данными работников

Методы: общенаучные методы такие как: обобщение, сравнение, синтез, анализ, индукция и дедукция, и специальные юридические методы: историко-правовой и сравнительно-правовой

Результат: разработка предложений по совершенствованию системы защиты персональных данных.

Выводы: решение задачи обеспечения безопасности персональных данных невозможно без определения и классификации потенциальных угроз персональным данным в информационных системах. Предлагаемая классификация может быть положена в основу модели угроз конкретной информационной системы, предназначенной для обработки персональных данных.

Ключевые слова: персональные данные, сотрудники, кадровая служба, идентификация, личные данные.

 

Введение

Персональные данные относятся к идентифицированному лицу или физическому лицу, которое может быть идентифицировано прямо или косвенно по физическим, психологическим, физиологическим, экономическим, культурным или социальным характеристикам, отношениям и ассоциациям. Персональные данные – это любые данные, которые могут прямо или косвенно относиться к данному лицу. В соответствии с Федеральным законом «О персональных данных» от июля 2006 г. № 152-фз персональные данные подразделяются на общие и специальные категории. К общим данным для категории относятся имя человека, личный код (идентификационный код) или дата рождения, местонахождение и изображение человека, в том числе комментарии с камер видеонаблюдения.

К особым категориям персональных данных относятся расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, генетические данные, биометрические данные, медицинские записи или данные о сексуальной жизни или сексуальной ориентации.

Обзор литературы

Теоретические проблемы правового обеспечения информационной безопасности и защиты информации нашли отражение во многих трудах учёных-правоведов.

Так В.П. Иванский[1], рассматривая проблемы защиты информации конфиденциального характера, в доступной сравнительно-правовой форме исследует понятийный аппарат законодательства о защите персональных данных в европейских государствах.

В трудах А.А. Фатьянова[2] анализируются все существующие в системе российского права институты тайн. Также ученый рассматривает систему управления обеспечения информационной безопасности в области правового регулирования общественных отношений в Российской Федерации.

С.Н. Братановский и М.М. Лебедева[3] исследуют организационно-правовые основы, виды и назначение специальных правовых режимов информации в российском законодательстве. Авторы дают юридическую оценку правового режима служебной, профессиональной и коммерческой тайны, анализируют правовой режим персональных данных как в Российской Федерации, так и в зарубежных странах.

В работе А.И. Сотова[4], особое внимание автор уделяет правовому регулированию статуса компьютерной информации и информационных сетей.

Л.К. Терещенко[5] исследует проблемы современного состояния в правовом регулировании информационных отношений. Автор анализирует использование информации и информационных технологий в деятельности государства, в том числе при оказании электронных государственных и муниципальных услуг.

Проблемам конфиденциальной информации в трудовых отношениях посвящены работы А.В. Дворецкого[6], А.С. Маркевич[7] , Э.Н. Бондаренко и Д.В. Иванова[8] .

Общие требования при обработке персональных данных работни- ка сформулированы в статьях Т.В. Кузнецовой[9], Д.Е. Ерохина[10] и других.

Проблемы правового регулирования персональных данных нашли отражение в статьях М.В. Бундина[11], О.С. Соколовой[12] , Н.Е. Циулиной[13] . Авторы не только раскрывают сущность проблемы защиты персональных данных, но и предлагают пути решения возникающих проблем.

Таким образом, несмотря на то, что огромное количество учёных занимаются проблемой защиты персональных данных работника, тема правового регулирования оборота и защиты персональных данных работника остается недостаточно изученной и требует дальнейшей научной разработки.

Обработка персональных данных в трудовых отношениях

Для обработки персональных данных работодатель должен определить цель обработки – указать, почему и на каком законном основании обрабатываются персональные данные.

Существует два законных основания для обработки персональных данных работника – выполнение контракта и соблюдение работодателем юридических обязательств. Как контролер данных, работодатель должен обеспечить, чтобы персональные данные обрабатывались в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ и другим применимым законодательством.

Обработка персональных данных при подборе персонала

В какой степени персональные данные соискателя могут обрабатываться в процессе найма? Должны ли заявители давать свое согласие на проверку биографических данных? Можно ли использовать социальные сети для сбора информации о кандидате? Таковы некоторые из многих вопросов, которые возникают в связи с обработкой персональных данных в процессе найма.

Работодатель может обрабатывать персональные данные, которые заявитель предоставил работодателю в процессе найма – его резюме и связанные с ним документы (например, рекомендации от бывшего работодателя, документы, подтверждающие образование и т.д.).

Предпосылки для проверки биографических данных

Имеет ли работодатель право использовать социальные сети для сбора информации о кандидатах или сотрудниках? Они должны убедиться, что используют только соответствующие каналы и информацию, раскрытую самим заявителем. Если человек опубликовал информацию о себе на общедоступном веб-сайте или в блоге, и эта информация появляется при простом поиске в Интернете, отдельное согласие запрашивать не нужно. Проверка профиля сотрудника на сайте VK также разрешена, если просматриваются только общедоступные данные. Предварительное согласие сотрудника или соискателя необходимо, если работодатель связывается c нынешним работодателем, чтобы получить рекомендации и / или отзывы.

Для работодателя было бы разумно включить уведомление о конфиденциальности компании в объявление о приеме на работу. В уведомлении о конфиденциальности должно быть указано, как компания обрабатывает персональные данные в процессе найма, какова цель обработки, каковы правовые основания для обработки и условия хранения данных. Рекомендуется хранить резюме, собранные в процессе найма, в течение одного года после окончания приема на работу, поскольку в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ о равном обращении лица, ищущие работу, могут заявить о дискриминации и могут оспорить решения об отказе им в приеме на работу. Таким образом, работодатели имеют законный интерес сохранять данные до окончания периода спора.

Согласие как законное основание для обработки персональных данных сотрудников

Согласие является лишь одним из законных оснований, изложенных в Федеральном законе «О персональных данных» от 27.07.2006 №152-ФЗ, для разрешения обработки персональных данных. Согласие как законное основание при приеме на работу может использоваться как исключение, а не как правило, поскольку работодатель обладает полномочиями в трудовых отношениях, и согласие работника не может быть свободно дано или отозвано. Как было сказано выше, законным основанием для обработки персональных данных в трудовых отношениях является выполнение контракта или юридических обязательств работодателя.

По своей природе согласие должно быть отозвано так же легко, как и дано в любое время, поэтому работодатель, запрашивающий согласие работника на подписание его трудового договора, совершенно неверен. В целях заключения трудового договора работодатель обрабатывает персональные данные работника для выполнения контракта, что означает, что уже существует законное основание для обработки, и было бы ошибочно запрашивать дополнительное согласие.

Если у работника просят согласия, он имеет право отозвать свое согласие в любое время – хотя на самом деле, даже если он «отзывает» согласие, работодатель по закону все равно обязан обрабатывать персональные данные. В качестве примера рассмотрим ситуацию, когда работник отзывает согласие при прекращении трудовых отношений и просит работодателя удалить свои персональные данные. Работодатель имеет юридическое обязательство сохранять трудовой договор в течение 10 лет, и фактическим законным основанием для обработки в этом случае фактически является выполнение юридического обязательства и не зависит от согласия.

Согласие в трудовых отношениях может использоваться для регулирования вопросов, относящихся к внутренним процедурам, таким как публикация фотографии сотрудника на веб-сайте, размещение даты его рождения в интернете, обработка персональных данных ребенка для организации новогодних подарков и т.д.

Чтобы сохранить резюме соискателей, собранные при подборе персонала, например, для уведомления их о потенциальных вакансиях, кандидаты должны дать свое согласие.

Работодатель должен действовать юридически корректно

Подводя итог, работодателям важно убедиться, что они в курсе правил защиты персональных данных, чтобы обеспечить надлежащую обработку персональных данных в компании и избежать каких-либо дорогостоящих юридических проблем.

Работодатель является контролером персональных данных работника, и поэтому работодатель обязан уведомить работника о цели обработки, законных основаниях обработки и сроках хранения персональных данных. Для достижения этой цели можно рекомендовать ознакомиться с внутренними процедурами компании, где должны быть подробно описаны вышеупомянутые принципы и цели обработки. Кроме того, любые изменения во внутренних процедурах должны быть доведены до сведения сотрудников. Внутренние правила работы также должны включать случаи, когда работодатель имеет право проверять содержимое рабочих учетных записей электронной почты сотрудников или то, как организован доступ к устройствам и системам. Также очень важно обучить сотрудников безопасной обработке персональных данных и убедиться, что они знают, какие типы персональных данных сотрудников обрабатывает работодатель.

Выводы и дальнейшие перспективы исследования

Отдел кадров любой организации должен помнить о своих обязательствах на протяжении всего срока службы сотрудников, начиная с момента найма и заканчивая окончанием срока службы.

В период трудоустройства работодатель должен помнить о следующих обязательствах по защите данных:

Федеральной закон «О персональных данных» от 27.07.2006 №152-ФЗ требует, чтобы работодатели уведомляли своих сотрудников перед сбором и обработкой их персональных данных.

Сбор, обработка и хранение персональных данных сотрудников должны быть ограничены тем, что необходимо, уместно и соразмерно любой функции, выполняемой работодателем в контексте трудовых отношений.

Работодателю, как правило, следует избегать полагаться на согласие работников при обработке большей части данных на работе из-за дисбаланса полномочий между работодателем и работником. Исключительные обстоятельства, при которых можно полагаться на согласие, могут включать получение согласия от работников на добровольные программы выплаты пособий работникам, поскольку отказ не влечет неблагоприятных последствий для трудовых отношений. Такое согласие должно быть дано свободно и хорошо задокументировано.

Работодатели могут иметь возможность контролировать своих сотрудников на предмет производительности, безопасности и соблюдения политики компании. Тем не менее, они обязаны информировать сотрудников о таком мониторинге до его проведения и применять надлежащие меры предосторожности для защиты данных, собранных в ходе мониторинга.

Работодатели должны провести оценку, основанную на рисках, и принять меры по снижению рисков конфиденциальности для своих сотрудников, прежде чем проводить профилирование или любую другую деятельность по обработке данных с высоким риском с использованием данных своих сотрудников. Деятельность по обработке данных с высоким риском может включать сбор медицинских данных для медицинского страхования, профилирование для оценки эффективности или другие процессы принятия решений, связанные с трудоустройством.

Работодатели обязаны соблюдать права на использование персональных данных сотрудников в установленные сроки. Эти права включают право запрашивать доступ к своим персональным данным, удалять свои персональные данные или отказываться от определенных форм обработки. Как правило, доступ к данным и их изменение, которые могут нанести ущерб управлению и функционированию работодателя или содержат стороннюю информацию, освобождаются от запросов персональных данных сотрудников.

Работодатели должны обеспечить наличие надлежащих и разумных мер безопасности для защиты данных своих сотрудников. Если данные сотрудников были получены или скомпрометированы в результате инцидента безопасности, работодатели должны уведомить пострадавших сотрудников и / или регулирующие органы в установленные сроки в соответствии с применимым законом о конфиденциальности.

Работодатели должны оценивать политику конфиденциальности внешних третьих сторон и поставщиков, с которыми они заключают контракты на обработку данных своих сотрудников по любой причине, например, кадровые службы, контракты на безопасность или услуги медицинского страхования и т.д. Наилучшей практикой является заключение договорных соглашений, содержащих гарантии защиты передаваемых данных.

Работодатели должны регулярно обновлять свои кадровые документы, чтобы отражать точную и необходимую личную информацию о своих сотрудниках. Неточная, устаревшая или нежелательная информация должна быть изменена или удалена.

Список литературы

1. Иванский В.П. Правовая защита информации о частной жизни граждан. Опыт современного правового регулирования. М., 2019. 276 с.
2. Фатьянов А.А. Тайна и право. М., 1999. 288 с.; Фатьянов А.А. Правовое обеспечение безопасности информации в РФ. М., 2021. 412 с.
3. Братановский С.Н., Лебедева М.М. Специальные правовые режимы информации. Саратов, 2022. 172 с.
4. Сотов А.И. Компьютерная информация под защитой. Правовое и криминалистическое обеспечение безопасности компьютерной информации М., 2019. 204 с.
5. Терещенко Л.К. Модернизация информационных отношений и информационного законодательства. М., 2020. 227 с.
6. Дворецкий А.В. Защита персональных данных работника по законодательству Российской Федерации: дис. ... канд. юрид. наук: 12.00.05. Томск, 2019. 222 с.
7. Маркевич А.С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях: дис... канд. юрид. наук: 05.13.19. Воронеж, 2019. 170 с.
8. Бондаренко Э.Н., Иванов Д.В. Конфиденциальная информация в трудовых отношениях. Спб., 2019. 152 с.
9. Кузнецова Т.В. Организация работы с персональными данными // Трудовое право. 2021. № 5. С. 77-83.
10. Ерохин Д.Е. Правила работы с персональными данными // Трудовые споры. 2017. № 12. С. 26-30.
11. Бундин М.В. Персональные данные как информация ограниченного доступа // Информационное право. № 1. 2019. С. 10 -14;
12. Соколова О.С. Персональные данные как информация ограниченного доступа: проблемы правового регулирования // Современное право. 2021. № 2. С. 18-21.
13. Циулина Н.Е. Особенности ограничения доступа к носителям информации, содержащим персональные данные // Проблемы права. 2022. № 6. С. 147-150.