Защита персональных данных. Персональные данные: как соблюсти порядок их обработки

Определяемся с понятием.

Уже более 3 лет российское законодательство при обработке персональных данных работников стоит на страже неприкосновенности частной жизни, семейной и личной тайны, и следит за обеспечением защиты свобод и прав гражданина и человека. Для это было принято довольно много нормативные акты, которые обязывали обеспечить безопасность персональных данных, взаимодействуют с которыми не только физические и юридические лица, но и разные органы власти. К наиболее важным нормативным актам можно отнести:

• Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных);
• Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Постановление N 687);
• Постановление Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление N 781).

На заседании Госдумы в декабре 2009 года в третьем чтении был принят законопроект N 284213-5 "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных". В соответствии с этими изменениям из Закона были исключены требования, касающиеся использования криптографических средств защиты персональных данных. Согласно ст. 25 Закон о персональных данных все информационные системы персональных данных, которые были созданы до вступления данного Закона в силу, необходимо было не позднее 1 января 2010 года привести в соответствие с требованиями действующего законодательства. А в законопроекте же предлагалось продлить срок до 1 января 2011 года.

Но как эти изменения относятся к кадровой службе? Что нового содержится в данном Законе и Постановлениях, чего нет в гл. 14 Трудового кодекса РФ? Во-первых, все эти документы определяют порядок работы с персональными данными, а также уточняют и расширяют нормы права, которые приведенные в Трудовом кодексе РФ. Во-вторых, они определяют правила по обеспечению безопасности работы с персональными данными.

Предлагаем разобраться в этом детальнее. При использовании персональных данных работников, для определения объема работ, следует отталкиваться от ключевых понятий, таких как "персональные данные" и "обработка персональных данных".

Согласно Трудовому кодексу РФ персональные данные работников – это информация, касающаяся конкретного работника и тесно связанная с трудовыми отношениями, которая необходима каждому работодателю. А согласно Закону о персональных данных, в котором уточняется и расширяется это понятие, к персональным данным может относиться любая информация, касающаяся определенного или определяемого на основании такой информации физического лица (т.е. субъекта персональных данных), в том числе его имя, фамилия, отчество, дата и место рождения, адрес проживания, образование, профессия, социальное, семейное, имущественное положение, доходы и другая информация. Таким образом, любой работодатель, заключивший трудовой договор с работником, получает всю необходимую информацию, которая относится к персональным данным. Как правила, вся эта информация содержится в следующих, предъявляемых работником при приеме на работу документах. К ним относятся:

• паспорт;
• свидетельство о присвоении ИНН;
• военный билет (если имеется);
• страховое пенсионное свидетельство;
• документы об образовании (в том числе и дополнительное образование, если работник представляет их при приёме на работу или это необходимо для выполнения определенных трудовых функций);
• водительское удостоверении и документы на автомобиль, опять же, если это необходимо в связи с выполнением некоторых трудовой функции работника;
• справка о прохождении медицинского осмотра (медицинская книжка), если это необходимо в связи с выполнением трудовых функций.

Использование предприятием вышеуказанных данных сведений в своей деятельности трактуется законодательством как "обработка персональных данных ". К таким действиям можно отнести следующие: сбор, накопление, систематизация, уточнение, хранение, использование, обновление, изменение, блокирование, обезличивание, уничтожение передача, распространение и другие действия. Обычно все вышеперечисленные операции выполняются на любом предприятии и в любой организации, но в разном объёме.

Особое внимание следует уделить понятию "передача персональных данных ", потому как в связи с ним на работодателя накладываются определённого рода ограничения (ст. 88 ТК РФ). Во-первых, собственник не имеет права:

• без письменного согласия работника сообщать его персональные данные в коммерческих целях;
• без письменного согласия работника сообщать третьей стороне его персональные данные, кроме случаев, когда это необходимо для предупреждения угрозы здоровью и жизни первого и иных случаев, которые предусмотрены законодательством РФ;
• запрашивать в медицинских учреждениях информацию о состоянии здоровья работника, кроме сведений, непосредственно связанных с вопросом о возможности выполнения работником его трудовых функций.

Кроме вышеперечисленного работодатель обязан соблюдать и следующие требования:

• предупреждать лиц, которые получили персональные данные любого работника, что эти данные можно использовать исключительно в тех целях, для которых они сообщались, и требовать от этих лиц подтверждения того, что это правило соблюдено. Все лица, которые получают персональные данные работника, обязаны соблюдать режим конфиденциальности (секретности). Однако на обмен персональными данными работников в установленном законодательством РФ порядке данное положение не распространяется;
• доступ к персональным данным работников разрешать только специально уполномоченным лицам, причём доступ лишь к тем персональным данным, которые необходимы для выполнения конкретных функций;
• осуществлять передачу персональных данных представителям работников только в установленном законодательством РФ порядке и ограничивать всю информацию лишь теми персональными данными, необходимыми для выполнения указанных представителями целей.

Необходимые документы.

Работодатель, для выполнения требований законодательства, обязан соблюдать определённые условия обработки персональных данных. В соответствии с ч. 1 ст. 6 Закона "О персональных данных" обрабатывать персональные данные, притом с согласия субъектов персональных данных, может только оператор. Но есть исключения, приведённые в ч. 2 ст. 6 этого закона, где говорится, что разрешение не требуется, если обработка персональных данных проводится на основании федерального закона, который устанавливает её цель, круг субъектов, персональные данные которых подлежат обработке, и условия получения персональных данных, а также определяет полномочия оператора. Многие полагаю, что Трудовой кодекс РФ, который является федеральным законом, соответствует данному исключению, но в Кодексе оговариваются некоторые цели обработки персональных данных и указывается на то, что работодатель должен сам определить объём, цели и содержание обработки данных. В случае, если этот объём превышает приведенный в Трудовом кодексе, то работодателю перед использованием данных работника необходимо получить его разрешение, т.е. перед тем как заключать трудовой договор с работодателем, работник обязан написать заявление о согласии на обработку своих персональных данных. Как правило, в таком заявлении должны быть указаны:

• Ф.И.О., номер документа, удостоверяющего его личность, сведения о его дате выдачи и выдавшем его органе, а также адрес работника;
• наименование и адрес работодателя, который получает согласие сотрудника;
• перечень персональных данных, согласие на обработку которых даёт работник;
• цель обработки персональных данных;
• перечень действий, связанных с персональными данными, на совершение которых даётся согласие, и общее описание способов обработки персональных данных, которые будет использовать работодатель;
• срок, в течение которого будет действовать согласие;
• порядок отзыва заявления.

Цели обработки персональных данных.

Рассмотрим более детально цели обработки персональных данных. В составленном заявлении работнику необходимо подробно указать варианты, при которых могут использоваться его персональные данные. Например, прежде чем заказывать визитные карточки с фамилией работника, необходимо получить его согласие, так же обстоит ситуация и с присвоением электронного адреса, содержащего фамилию работника. Обязательно надо согласовать и срок использования персональных данных работника после его увольнения.

Документы, содержащие сведения о работнике, организация обязана хранить в течение семидесяти пяти лет, поэтому работодателю стоит заранее получить согласие на их использование, а так же определить объём в котором эти сведения могут быть использованы. За работником сохраняется право на отказ от использования его персональных данных, но учитывая возможные последствия (ч. 2 ст. 18 Закона "О персональных данных"), этот отказ должен быть оформлен письменно. Как правило, данного рода ситуации возникают на предприятиях достаточно редко, но чтобы избежать подобных осложнений работодатель обязан ознакомить работника с Положением о персональных данных, составить документ об ознакомлении с Положением, которые обязательно следует заверить подписью работника. Документ должен содержать полный список персональных данных, представляемых работниками, а также в нём указывается где и каким образом они будут храниться, помимо этого в документе необходимо перечислить меры, принятые для обеспечения безопасного хранения носителей информации, и указать лиц ответственных за исполнение.

Согласно ст. 6 Положения N 687 все сотрудники организации, имеющие отношение к работе с персональными данными, должны быть проинструктированы о правилах работы с персональными данными и об ответственности, сопряженной с этой работой. С такими работниками, как правило, заключается трудовой договор, где отдельными пунктами прописываются их обязанности и ответственность, последующая за нарушение конфиденциальности в отношении разглашения персональных данных других лиц.

Требования, предъявляемые к работе на различных носителях.

В процессе деятельности предприятий, получаемая информация сохраняется на носителях двух видах. Это, как правило, бумажный и электронный документооборот - материальные и электронные носители. К списку материальных носителей относятся: трудовая книжка, журнал учёта трудовых книжек, журнал регистрации входящей и исходящей корреспонденции, журнал регистрации приказов и командировочных листов, табели по учёту рабочего времени и другие документы, напрямую или косвенно связанные с информацией о персональных данных сотрудников. В Законе о персональных данных прописано об обязанностях работодателя, касающихся обеспечения хранения персональных данных на бумажных носителях и их сохранности, а также исключения ознакомления с этими документами лиц, не имеющих разрешения.

К электронным носителям персональных данных относятся различные базы данных, которые содержат в себе персональные данные сотрудников. Эта информация хранится, обрабатывается и передается при помощи технических средств. На основании ст. 19 Закона о персональных данных Правительство Российской Федерации постановило утвердить Положение №781 от 17 ноября 2007г об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Под безопасностью персональных данных на электронных носителях понимается сохранение конфиденциальности, исключение несанкционированного проникновения, это относится и к проникновению, не имеющему злого умысла, которые могут привести к потере, искажению, изменению, копированию и другим действиям с персональными данными.

В целях исключения таких ситуаций, работа с электронными носителями должна быть построена следующим образом:

1. На каждом предприятии информационная система должна квалифицироваться по степени важности, обрабатываемому объёму персональных данных и степени угрозы проникновения. Провести классификацию имеет право организация, прошедшая соответствующее лицензирование. После определения класса, руководство предприятия составляет перечень мер, применяемых для защиты имеющихся персональных данных.
2. Организация, в целях исключения несанкционированного взлома и незаконного проникновения в помещение, в котором находится информационная система, работающая с персональными данными, должна организовать соответствующую охрану.
3. Организовать мероприятия, позволяющие предотвратить случайный или умышленный доступ к персональным данным. А если таковой факт произошёл, своевременно обнаружить проникновение и принять меры к устранению последствий проникновения, и исключить действия, которые могут повлечь утерю, порчу и изменение информации.
4. Принять срочные меры по восстановлению утраченной или измененной информации о персональных данных.
5. Следить за уровнем защиты информации.

И последнее, для обеспечения работы с персональными данными на должном уровне, на предприятии и в организации должны имеется следующие документы:

• Положение о персональных данных.
• Приказ о назначении ответственных за обеспечение безопасности персональных данных.
• Приказ о назначении ответственных лиц за работу с персональными данными.
• Договоры и дополнительные соглашения с работниками об обработке персональных данных.
• Заявления работников на обработку персональных данных.

Любая информация, прямо или косвенно относящаяся к конкретному лицу, классифицируется как «персональные данные».

Обработка этой информации – любое действие или операция с личными данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Зачем собирать информацию о субъекте и давать согласие на ее анализ?

В ФЗ № 152 указано, что обработка персональных данных ограничивается конкретными законными целями. По этой причине нельзя объединять 2 базы с разными целями.

Цель обработки информации должна быть указана в Соглашении между клиентом или работником и компанией, а политика организации об обработке персональных данных предоставлена в открытом доступе.

В соглашении указывается исчерпывающий список целей, без «т.д. и т.п.»

Необходимо обозначить цели, указанные в учредительных документах, уставе и положениях компании, и также фактически осуществляемые оператором.

Для клиента/пациента

Сведения о состоянии здоровья гражданина относятся к специальной категории персональных данных. Согласно ч. 2 п. 4 ст. 10 ФЗ № 152 обработка таких сведений допускается без согласия субъекта при условии, что она осуществляется в целях:

• установления диагноза;
• профилактики заболевания;
• оказания медицинских и медико-социальных услуг.

Это правило справедливо для ситуаций, когда обработка осуществляется профессиональным врачом, обязанным хранить врачебную тайну в соответствии с законодательством РФ.

Исключение составляют те ситуации, когда получить согласие невозможно, но обработка необходима для защиты жизни или здоровья пациента.

Если человек пользуется какой-либо услугой – заключает договор, оформляет кредит – то есть является клиентом, личные сведения о нём также могут быть обработаны согласно ФЗ № 152 .

Данные клиента могут использованы для:

1. Оказание консультационных, информационных и посреднических услуг.
2. Заключение и исполнение договора с клиентом.
3. Ведение кадровой работы и бухгалтерских услуг.
4. Иные сделки, не запрещенные законодательством РФ.

Для сотрудника организации

Работодатель имеет право на обработку личных данных своих сотрудников, оно закреплено в ст. 22 ФЗ № 152 . Цели обработки персональных данных в организации:

• Оформление гражданско-правовых договоров с гражданами, предусмотренных Законодательством РФ и Уставом предприятия.
• Кадровый учёт, соблюдение законов и правовых актов, оформление обязательств по трудовым и гражданско-правовым договорам.
• Помощь в трудоустройстве, получении образования или продвижения по службе, оформлении и использовании льгот.
• Обеспечение личной безопасности работника и сохранность имущества.
• Выполнение требований налогового, а также пенсионного законодательства при начислении взносов на пенсионное страхование.
• Формирование статистики в соответствие с Трудовым, Налоговым Кодексами и федеральными законами.
• Контроль выполняемой сотрудником работы.

(Ст. 86 «Трудового Кодекса Российской Федерации» от 30.12.2001 г. № 197-ФЗ). Личные сведения о сотруднике, относящиеся к категории «специальные», не подлежат обработке работодателем.

Обязательно должны быть установлены сроки действия Согласия на обработку персональных данных, это может быть конкретная дата или событие, например, увольнение или отзыв сотрудником своего согласия.

Примеры

Банковская сфера

Банк «Финансовый». Цель обработки персональных данных клиента – осуществление банковских и других операций, в том числе:

1. Открытие и ведение банковских счетов.
2. Перевод денежных средств по банковским счетам.
3. Перевод денежных средств от лиц – физических и юридических без открытия банковского счёта.
4. Купля-продажа иностранной валюты.
5. Оказание услуг консультирования и информирования, в том числе посредством адреса электронной почты.

Медицинская организация

Медицинская организация «Здоровье». Цель обработки:

• Организация оказания медицинской помощи.
• Выписка льготных рецептов.
• Оплата счетов в системе ОМС и ДМС.
• Использования для статистики и при проведении научно-исследовательской работы.
• Информирование посредством смс-оповещения о результатах анализов, проводимых акциях и расписании работы специалистов.

Заключение

С персональными данными работника, клиента или пациента не всё так просто, как кажется на первый взгляд. Просто так, без согласия и предупреждения, они не могут быть переданы третьим лицам или использованы в тех целях, с которыми субъект не согласен. Если человек столкнулся с тем, что произошла утечка его личных данных, он всегда может обратиться в Роскомнадзор или в суд.

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

1. сбор;
2. уточнение;
3. систематизация;
4. использование;
5. удаление;
6. хранение.

Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных - это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152 , к таким данным относятся все сведения о человеке - от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

• Общедоступные - основные анкетные данные, включая ФИО, пол, дату и место рождения.
• Биометрические - информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
• Специальные - национальность, вероисповедание, состояние здоровья, судимости, частично - сведения о работе (причины увольнения и др.).

Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

1. должность руководителя и наименование организации, которую он возглавляет;
2. ФИО руководителя;
3. должность работника;
4. ФИО работника;
5. дата;
6. место составления.

Примерный текст документа следующий:
«Данным заявлением я подтверждаю свое согласие на сбор, обработку, использование и хранение моих персональных данных в пределах, необходимых для обеспечения моих трудовых и социальных прав, уплаты установленных налогов, сборов и иных обязательных платежей, отчисления обязательных взносов в государственные фонды и для других целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем в рамках действующего законодательства. Работодатель вправе предоставлять мои персональные данные третьим лицам только в установленных законом случаях».
Под текстом заявления работник ставит свою подпись.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового. Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск - такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Задавайте вопросы в комментариях к статье и получите ответ специалиста

Статья 1 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» устанавливает, что персональные данные - это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). Оператором может быть в том числе юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
организующее и (или) осуществляющее обработку персональных данных;
определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Статья 85 ТК РФ говорит о том, что персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Согласно статье 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования.

Требование № 1: обработка персональных данных работника может осуществляться исключительно в целях обеспе-чения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Требование № 2: при определении объёма и содержания обрабатываемых персональных данных работника рабо-тодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.

Требование № 3: все персональные данные работника следует получать у него самого. Если персональные данные ра-ботника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источ-никах и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Требование № 4: работодатель не имеет права получать и обрабатывать персональные данные работника о его по-литических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Требование № 5: работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.

Требование № 6: при принятии решений, затрагивающих интересы работника, работодатель не имеет права ос-новываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Требование № 7: защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном ТК РФ и иными федеральными законами.

Требование № 8: работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Работники не должны отказываться от своих прав на сохранение и защиту тайны.

Статья 88 ТК РФ устанавливает следующие требования при передаче персональных данных работника:
запрещено сообщать персональные данные работника третьей стороне без письменного согласия работника. Исключе-ние составляют случаи, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в дру-гих случаях, предусмотренных ТК РФ или иными федеральными законами;
запрещено сообщать персональные данные работника в коммерческих целях без его письменного согласия;
следует предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть ис-пользованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (кон-фиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
передача персональных данных работника осуществляется в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
доступ к персональным данным работников разрешается лишь специально уполномоченным лицам. Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Таким образом, доступ к персональным данным работников может быть разрешён только специально уполномоченным лицам, которые к тому же имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

В частности, следует разработать ряд локальных документов, которые регулируют работу с получаемыми персональны-ми данными и ответственность лиц, их получающих. Например:
положение о персональных данных;
приказы об утверждении списков лиц, имеющих доступ к персональным данным работников;
обязательства о неразглашении персональных данных лицами, имеющими доступ к персональным данным;
порядок хранения персональных данных.

Работники, которые получают доступ к персональным данным для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под роспись.

Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должност-ной инструкции каждого сотрудника, получившего доступ к персональных данным для выполнения своих служебных обязанностей.

В идеале сотрудники, осуществляющие операции с персональными данными, должны находиться отдельно от других сотрудников. В любом случае их рабочие места (или место) должны быть оборудованы сейфами для хранения соответствующих документов.

Приведём несколько примеров соответствующих документов.

Образец приказа о назначении ответственного за организацию обработки персональных данных:

Общество с ограниченной ответственностью «Работодатель»
Приказ от 20.03.13 № 55
Во исполнение положений Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
Назначить ответственным за организацию обработки персональных данных в организации начальника отдела персонала (Ф. И. О.). Дата, подпись.
Образец положения о персональных данных:

Во исполнение требований главы 14 ТК РФ, Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», а также в целях приведения локальных нормативных актов ООО «Работодатель» в соответствие с действующим законодательством РФ
ПРИКАЗЫВАЮ:
1. Ввести в действие с 20.05.13 Положение о персональных данных работников ООО «Работодатель» (далее - Положение).
2. Начальнику отдела персонала (Ф. И.О.) в срок до 29.05.13 довести Положение до сведения всех сотрудников организации под
роспись.
3. В срок до 03.06.13 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО «Работодатель» (по форме Приложения № 1 к Положению).
4. Местом хранения Положения определить кабинет отдела персонала.
5. Контроль исполнения данного приказа оставляю за (должность, Ф. И. О.).
Должность, дата, подпись
С приказом ознакомлены: Должность, подпись, расшифровка

Общество с ограниченной ответственностью «Работодатель» (ООО «Работодатель»)

УТВЕРЖДАЮ
Генеральный директор ООО «Работодатель»

ПОЛОЖЕНИЕ
о персональных данных работников ООО «Работодатель»

1. Общие положения
1.1. Положение о персональных данных работников ООО «Работодатель» (далее - Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.06 № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами.
1.2. Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО «Работодатель» (далее - Общество).
1.3. Персональные данные работника - любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).
1.4. При определении объёма и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
2. Получение персональных данных
2.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлён об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
2.2. При поступлении на работу претендент заполняет анкету, в которой указывает следующие сведения о себе:

Ф.И.О.;
- пол;
- дату рождения;
- семейное положение;
- наличие детей, их даты рождения;
- воинскую обязанность;
- место жительства и контактный телефон;
- образование, специальность;
- стаж работы по специальности;
- предыдущее(ие) место(а) работы;
- факт прохождения курсов повышения квалификации;
- наличие грамот, благодарностей.

2.3. Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.
2.4. При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со статьёй 65 ТК РФ.
2.5. Работодатель имеет право проверять достоверность сведений, предоставляемых работником. По мере необходимости работодатель может истребовать у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.
2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму № Т-2 «Личная карточка работника» и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел (должность).
2.7. Личное дело работника состоит из следующих документов:

Трудовой договор;
- личная карточка формы № Т-2;
- копия трудовой книжки;
- характеристики, рекомендательные письма;
- паспорт (копия);
- документ об образовании (копия);
- военный билет (копия);
- свидетельство о регистрации в налоговом органе (ИНН) (копия);
- пенсионное свидетельство (копия);
- свидетельство о заключении брака (копия);
- свидетельство о рождении детей (копия);
- копия документа о праве на льготы (удостоверение почётного донора, медицинское заключение о признании лица инвалидом, др.);
- результаты медицинского обследования (в случаях, установленных законодательством);
- документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).
2.8. Документы, поступающие в личное дело, хранятся в хронологическом порядке.
3. Хранение персональных данных
3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам. Личные дела находятся
в отделе кадров в специально отведённом шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфа-
витном порядке.
3.2. Личные дела регистрируются в журнале учёта личных дел, который ведётся в электронном виде и на бумажном носителе.
3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.
3.4. В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:

Трудовые книжки;
- подлинники и копии приказов (распоряжений) по кадрам;
- приказы по личному составу;
- материалы аттестаций и повышения квалификаций работников;
- материалы внутренних расследований (акты, докладные, протоколы и др.);
- копии отчётов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- другие.
3.5. Персональные данные работников также хранятся в электронном виде в локальной компьютерной сети. Доступ к электронным
базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей. Пароли устанавлива-
ет системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным
работников. Пароли изменяются не реже одного раза в два месяца.
3.6. Кабинет отдела кадров оборудуется (указать, чем, например охранной системой и камерой видеонаблюдения).
3.7. Заместитель генерального директора - директор по персоналу осуществляет общий контроль соблюдения работниками мер по
защите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числе
с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.
4. Доступ к персональным данным
4.1. Доступ к персональным данным работников имеют:
- учредители Общества;
- генеральный директор;
- заместитель генерального директора;
- финансовый директор;
- директор по персоналу;
- главный бухгалтер;
- юрист;
- начальник отдела безопасности;
- руководители структурных подразделений (только к данным работников своего подразделения);
- специалисты отдела по работе с персоналом и бухгалтерии - к тем данным, которые необходимы им для выполнения конкретных функций.
4.2. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.
4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.
5. Обработка персональных данных работников
5.1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (п. 1 ст. 10 закона № 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.2. Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.

5.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нём исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счёт его средств в порядке, установленном федеральным законом.
5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

5.7. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных.
6. Права и обязанности работника в области защиты его персональных данных
6.1. Работник обязуется предоставлять персональные данные, соответствующие действительности.
6.2. Работник имеет право на:

Полную информацию о своих персональных данных и обработке этих данных;
- свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Передача персональных данных
7.1. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
7.2. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.
7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении таких данных.
7.4. Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.
7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
8. Ответственность
8.1. Разглашение персональных данных работника Общества, то есть:
- передача посторонним лицам, не имеющим к ним доступа;
- публичное раскрытие;
- утрата документов и иных носителей, содержащих персональные данные работника;
- иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, -
лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания (выговора, увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ).

8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несёт полную материальную ответственность в соответствии с пунктом 7 части 1 статьи 243 ТК РФ.
8.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несёт уголовную ответственность на основании статьи 188 УК РФ.
8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несёт административную ответственность по статьям 5.27, 5.39 КоАП РФ, а также возмещает работнику ущерб, причинённый неправомерным использованием информации, содержащей персональные данные об этом работнике.

С этим Положением следует ознакомить всех сотрудников организации. При приёме на работу нового сотрудника его надо ознакомить с данным документом до подписания трудового договора (ст. 68 ТК РФ). Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.

Образец обязательства о неразглашении персональных данных:

Обязательство о неразглашении персональных данных работников ООО «Работодатель»

Я, (Ф. И. О., должность), с Положением о персональных данных работников ООО «Работодатель» ознакомлен(а). Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей. Об ответственности за разглашение персональных сведений работников предупреждён(а).
Дата, подпись

Если возникает необходимость передачи персональных данных третьим лицам, необходимо получить согласие по следующей форме:

Генеральному директору ООО «Работодатель»
от (Ф. И. О.),
зарегистрированного по адресу (указать), паспорт (серия, номер, кем и когда выдан)

Согласие на передачу персональных данных третьей стороне

Я, (Ф. И. О.), в соответствии с абзацем 1 части 1 статьи 88 ТК РФ настоящим даю согласие ООО «Работодатель» на предоставление в (указать, куда) следующих моих персональных данных:
- Ф. И. О., дата рождения;
- номер свидетельства государственного пенсионного страхования;
- размер заработной платы;
- размер начисленных и уплаченных страховых взносов.
Настоящее Согласие действительно в течение одного года с момента его получения. Дата, подпись

ВАЖНО:

Под обработкой персональных данных понимается любое действие (операция) или их совокупность, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в силу статьи 90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 13.11 КоАП РФ, 137 УК РФ).

Представляется необходимым утверждение специальной системы доступа работников отдела кадров, а также руководящего состава к персональным данным.
Также стоит предусмотреть в локальных актах персональную ответственность таких лиц за сохранение конфиденциальности персональных данных.

Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.

После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора и др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.

Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.

Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.

Николай СОЛИЧЕНКО, эксперт ООО "Smart Solution"

В соответствии с ч. 2 ст. 85 ТК РФ обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения столичной безопасности, а также контроля количества и качества выполняемой им работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ).

Согласно п. 3 ст. 3 Федерального закона «О персональных данных» обработка персональных данных — это действия (операции) с персонатьными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Следует иметь в виду, что независимо от количества перечисляемых в законодательстве функциональных операций правовое регулирование должно охватывать все стадии обработки персональных данных — от получения до уничтожения без каких-либо изъятий и исключений.

К принципам обработки персональных данных указанный Закон относит следующие:

• законность целей и способов обработки и добросовестность;
• соответствие целей обработки целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
• соответствие объема и характера обрабатываемых данных, способов обработки целям их обработки;
• достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, не имеющих отношения к целям, заявленным при сборе данных;
• недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Обработка персональных данных работника начинается с их получения. По общему правилу все персональные данные следует получать у самого работника. В исключительных случаях, когда персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ). Однако персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни работодатель не имеет права получать и обрабатывать (п. 4 ст. 86 ТК РФ). Также работодатель не может запрашивать информацию о состоянии здоровья работника, если это не относится к решению вопроса о возможности выполнения работником трудовой функции (ст. 88 ТК РФ).

Отдельные требования ТК РФ предъявляет к организации и технологии обработки персональных данных работодателем. Обязанность ознакомления работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области, предполагает необходимость разработки и принятия соответствующего локального нормативного правового акта. Такой акт в зависимости от специфики деятельности и усмотрения работодателя может именоваться положением или инструкцией и, как правило, включает следующие разделы:

• основные понятия и положения;
• обработка персональных данных работника;
• формирование персональных данных работника;
• учет, хранение и передача персональных данных работника;
• права и обязанности работника в области обработки и защиты его персональных данных.

Такой локальный нормативный правовой акт определяет режим конфиденциальности (ограниченного доступа) персональных данных работника у определенного работодателя. Сотрудники работодателя, получающие персональные данные работника, обязаны соблюдать этот режим, о чем необходимо указать не только в их должностных инструкциях, но и в заключаемых с ними трудовых договорах. Положение (инструкция) о защите персональных данных является основным документом, отражающим специфику обработки и передачи персональных данных работника в пределах конкретной организации, у определенного индивидуального предпринимателя. В случае наличия в рамках этой деятельности автоматизированной составляющей работодатель не имеет права принимать в отношении работника решения, основанные на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения (п. 6 ст. 86 ТК РФ). Работодатель может не ограничиваться принятием положения о защите персональных данных работников в своей организации. Однако наличие этого локального акта является обязательным, а его отсутствие рассматривается государственной инспекцией труда как серьезное нарушение трудового законодательства.

За это и другие нарушения норм, регулирующих получение, обработку и работника, работодатель может привлекать виновных лиц к материальной, дисциплинарной ответственности, а соответствующие государственные органы — к гражданско-правовой, административной и уголовной.

← Вернуться