8.1. Общие положения о персональных данных работника
Согласно ст. 85 ТК РФ, персональные данные - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Федеральной закон от 27.07.2006 N 152-ФЗ "О персональных данных" дает более развернутое определение: персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Персональные данные отнесены Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.97 N 188, к категории конфиденциальной информации, т.е. работодатель обязан обеспечивать конфиденциальность таких данных - соблюдение лицом, получившим доступ к персональным данным, требования о недопустимости их распространения без согласия субъекта персональных данных или иного законного основания. Обеспечение конфиденциальности не требуется в следующих случаях:
|
|
обезличивания персональных данных (совершения действий, в результате которых невозможно определить принадлежность персональных данных конкретному работнику);
в отношении общедоступных персональных данных, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
В связи с заключением трудового договора работодателю необходимо получить от работника персональные данные, подтвержденные документами, перечисленными в ст. 65 ТК РФ. В некоторых случаях законодательство расширяет перечень персональных данных, необходимых работодателю в связи с трудовыми отношениями. К ним относятся данные о медицинских освидетельствованиях, о наличии у работника двух и более иждивенцев (при решении вопроса о преимущественном праве оставления на работе) и некоторые другие.
Обработка персональных данных - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника, где использование - действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работника или других лиц либо иным образом затрагивающих права и свободы работника или других лиц. Кроме перечисленных ст. 85 ТК РФ действий, Федеральный закон "О персональных данных" включает в понятие обработки персональных данных также систематизацию, накопление, уточнение (обновление, изменение), распространение, обезличивание, блокирование и уничтожение персональных данных.
|
|
Передача персональных данных - понятие более узкое, нежели распространение персональных данных, поскольку под передачей понимаются действия, направленные на передачу персональных данных определенному кругу лиц, а под распространением - ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Под блокированием персональных данных подразумевается временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных представляет собой действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
При обработке персональных данных работодатель обязан соблюдать основные принципы, установленные законодательством:
законности целей и способов обработки персональных данных и добросовестности;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям работодателя;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Все необходимые работодателю персональные данные работника следует получать у него самого. Если же персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Уведомление работника о необходимости получения его персональных данных у третьей стороны должно содержать информацию о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Законодательством установлен запрет на обработку персональных данных о политических, религиозных и иных убеждениях работника, его членстве в общественных объединениях. Данный запрет не преодолевается даже письменным согласием работника на обработку указанных данных. Данные о частной жизни работника обрабатываются работодателем только в связи с трудовыми отношениями и исключительно на основании письменного согласия работника. К таким данным, в частности, могут быть отнесены сведения о семейном положении, наличии детей-инвалидов, другие сведения, с которыми связаны определенные юридические последствия для работника и работодателя.
Сведения о профсоюзной деятельности работника, в силу требований ст. 82 ТК РФ и некоторых других статей Кодекса, необходимы работодателю для соблюдения установленного законодательством порядка увольнения работника, являющегося членом профсоюза, а также в ряде других случаев.
Персональные данные должны храниться в порядке, обеспечивающем их защиту от неправомерного их использования или утраты. Обязанность по обеспечению такого порядка возложена на работодателя. Работники не должны отказываться от своих прав на сохранение и защиту тайны персональных данных. В связи с этим работодатель обязан совместно с работниками, их представителями вырабатывать меры защиты персональных данных работников, заключающиеся в следующем:
|
|
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.
Меры защиты, предпринимаемые работодателем, подразделяются на технические и организационные.
К техническим мерам относятся как оснащение помещений, в которых хранятся документы, содержащие персональные данные, техническими средствами защиты, так и организация системы охраны, соблюдение порядка доступа в помещение. Помещения оборудуются охранной сигнализацией, в нерабочее время помещения пломбируются (опечатываются), в рабочее время - закрываются на ключ. Используются также шифровальные (криптографические) средства.
К организационным мерам защиты относится разработка локальных нормативных актов, регламентирующих обработку и использование персональных данных работников.
8.2. Составление Положения о персональных данных
В силу требований ст. 86 ТК РФ работодатель обязан знакомить работников и их представителей с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также с их правами и обязанностями в этой области. Статья 68 ТК РФ устанавливает требование, согласно которому работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника до подписания трудового договора. Так как персональные данные работников обрабатываются исключительно в связи с трудовой деятельностью работника, то локальные нормативные акты, регламентирующие обработку персональных данных, являются документами, связанными с трудовой деятельностью работника. Таким образом, со всеми локальными нормативными актами, регламентирующими обработку его персональных данных, работник должен быть ознакомлен до подписания трудового договора.
|
|
Ниже приведена примерная схема Положения об обработке и защите персональных данных.
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ
"ОРГАНИЗАЦИЯ"
УТВЕРЖДАЮ
_______________________________
наименование должности руководителя
______________________
подпись
______________________
Ф.И.О.
М.П. "___"_______200__ г.
ПОЛОЖЕНИЕ
об обработке и защите персональных данных
I. Общие положения
1.1. Настоящее Положение об обработке и защите персональных
данных (далее - Положение) определяет порядок сбора, хранения,
передачи и любого другого использования персональных данных в ООО
"Организация" в соответствии с законодательством Российской
Федерации.
1.2. Настоящее Положение разработано в соответствии с
Конституцией Российской Федерации, Трудовым кодексом Российской
Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об
информации, информационных технологиях и о защите информации",
Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных
данных", иными нормативными актами, действующими на территории
Российской Федерации.
1.3. Настоящее Положение вступает в силу с 00.00.0000.
II. Основные понятия
Для целей настоящего Положения используются следующие понятия:
2.1. Работник - физическое лицо, состоящее в трудовых
отношениях с работодателем.
2.2. Работодатель - ООО "Организация".
2.3. Персональные данные - любая информация, необходимая
работодателю в связи с трудовыми отношениями и касающаяся
конкретного работника, в том числе его фамилия, имя, отчество,
год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая
информация.
2.4. Обработка персональных данных - действия (операции) с
персональными данными, включая сбор, систематизацию, накопление,
хранение, уточнение (обновление, изменение), использование,
распространение (в том числе передачу), обезличивание,
блокирование, уничтожение персональных данных.
2.5. Распространение персональных данных - действия,
направленные на передачу персональных данных определенному кругу
лиц (передача персональных данных) или на ознакомление с
персональными данными неограниченного круга лиц, в том числе
обнародование персональных данных в средствах массовой информации,
размещение в информационно-телекоммуникационных сетях или
предоставление доступа к персональным данным каким-либо иным
способом.
2.6. Использование персональных данных - действия (операции) с
персональными данными, совершаемые работодателем в целях принятия
решений или совершения иных действий, порождающих юридические
последствия в отношении субъекта персональных данных или других
лиц либо иным образом затрагивающих права и свободы субъекта
персональных данных или других лиц.
2.7. Блокирование персональных данных - временное прекращение
сбора, систематизации, накопления, использования, распространения
персональных данных, в том числе их передачи.
2.8. Уничтожение персональных данных - действия, в результате
которых невозможно восстановить содержание персональных данных в
информационной системе персональных данных или в результате
которых уничтожаются материальные носители персональных данных.
2.9. К персональным данным относятся:
2.9.1. Сведения, содержащиеся в документе, удостоверяющем
личность работника.
2.9.2. Информация, содержащаяся в трудовой книжке работника.
2.9.3. Информация, содержащаяся в страховом свидетельстве
государственного пенсионного страхования.
2.9.4. Сведения, содержащиеся в документах воинского учета.
2.9.5. Сведения об образовании, квалификации или наличии
специальных знаний или подготовки.
2.9.6. Информация медицинского характера, в случаях,
предусмотренных законодательством.
2.9.7. Сведения, содержащиеся в свидетельстве о постановке на
учет физического лица в налоговом органе на территории Российской
Федерации.
2.9.8. Сведения о семейном положении работника.
2.9.9....
III. Обработка персональных данных работника
3.1. Получение персональных данных.
3.1.1. Все персональные данные работника следует получать
лично у работника. Если персональные данные работника возможно
получить только у третьей стороны, то работник должен быть
уведомлен об этом заранее и от него должно быть получено
письменное согласие. Работодатель должен сообщить работнику о
целях, предполагаемых источниках и способах получения персональных
данных, характере подлежащих получению персональных данных и
последствиях отказа работника дать письменное согласие на их
получение.
3.1.2....
3.2. Хранение персональных данных.
3.2.1. Хранение персональных данных работников осуществляется
кадровой службой, бухгалтерией,... на бумажных и электронных
носителях.
3.2.2. В кадровой службе персональные данные хранятся на
бумажных носителях в личных карточках по форме N Т-2 и личных
делах.
Учетные данные работников хранятся кадровой службой на
электронных носителях. Кадровая служба обеспечивает их защиту от
несанкционированного доступа и копирования.
3.2.3. В бухгалтерии персональные данные хранятся в форме...
3.3. Уничтожение персональных данных.
3.3.1. Персональные данные работников хранятся не дольше, чем
этого требуют цели их обработки, и они подлежат уничтожению по
достижении целей обработки или в случае утраты необходимости в их
достижении.
3.3.2. Документы, содержащие персональные данные, подлежат
хранению и уничтожению в порядке, предусмотренном архивным
законодательством Российской Федерации.
IV. Права и обязанности работников и работодателя
4.1. В целях обеспечения защиты персональных данных,
хранящихся в личных делах работников, работники имеют право:
а) получать полную информацию о своих персональных данных и
обработке этих данных (в том числе автоматизированной);
б) осуществлять свободный бесплатный доступ к своим
персональным данным, включая право получать копии любой записи,
содержащей персональные данные работника, за исключением случаев,
предусмотренных федеральным законом;
в) требовать исключения или исправления неверных или неполных
персональных данных, а также данных, обработанных с нарушением
законодательства;
г) при отказе работодателя или уполномоченного им лица
исключить или исправить персональные данные работника - заявить в
письменной форме о своем несогласии, представив соответствующее
обоснование;
д) дополнить персональные данные оценочного характера
заявлением, выражающим его собственную точку зрения;
е) требовать от работодателя или уполномоченного им лица
уведомления всех лиц, которым ранее были сообщены неверные или
неполные персональные данные работника, обо всех произведенных в
них изменениях или исключениях из них;
ж) обжаловать в суд любые неправомерные действия или
бездействие работодателя или уполномоченного им лица при обработке
и защите персональных данных работника.
4.2. Для защиты персональных данных работников работодатель
обязан:
а) за свой счет обеспечить защиту персональных данных
работника от неправомерного их использования или утраты в порядке,
установленном законодательством РФ;
б) ознакомить работника и его представителей с настоящим
Положением и их правами в области защиты персональных данных под
расписку;
в) осуществлять передачу персональных данных работника только
в соответствии с настоящим Положением и законодательством
Российской Федерации;
г) предоставлять персональные данные работника только
уполномоченным лицам и только в той части, которая необходима им
для выполнения их трудовых обязанностей в соответствии с настоящим
Положением и законодательством Российской Федерации;
д) обеспечить работнику свободный бесплатный доступ к своим
персональным данным, включая право на получение копий любой
записи, содержащей его персональные данные, за исключением
случаев, предусмотренных законодательством;
е) по требованию работника предоставить ему полную информацию
о его персональных данных и обработке этих данных;
ж) работодатель не вправе получать и обрабатывать персональные
данные работника о его политических, религиозных и иных убеждениях
и частной жизни.
В случаях, непосредственно связанных с вопросами трудовых
отношений, работодатель вправе получать и обрабатывать
персональные данные работника о его личной жизни только с
письменного согласия работника;
з) работодатель не имеет права получать и обрабатывать
персональные данные работника о его членстве в общественных
объединениях или профсоюзной деятельности, за исключением случаев,
предусмотренных законодательством Российской Федерации.
4.3. Работники обязаны:
а) сообщать работодателю обо всех изменениях в персональных
данных в письменной форме в двухнедельный срок с момента внесения
изменений в соответствующие документы работника;
б) <...>
V. Передача персональных данных работника
5.1. Передача персональных данных работников в пределах ООО
"Организация".
5.1.1. Право доступа к персональным данным работника имеют:
- руководитель организации;
- руководитель кадровой службы;
-...
5.1.2. Право доступа к персональным данным других работников
определяется приказом руководителя организации. Работники должны
быть ознакомлены с указанным приказом под роспись.
5.1.3. Руководитель кадровой службы вправе передавать
персональные данные Работника в бухгалтерию в случаях,
установленных законодательством, необходимых для исполнения
обязанностей работников бухгалтерии.
5.2. Передача персональных данных работников третьим лицам и
сторонним организациям.
5.2.1. Работодатель вправе передавать персональные данные
работника третьим лицам и сторонним организациям только при
наличии письменного согласия работника. При отсутствии письменного
согласия работника передача персональных данных производится
исключительно в целях предупреждения угрозы жизни и здоровья
работника, а также в других случаях, установленных
законодательством.
5.2.2. При передаче персональных данных работника лица,
получающие данную информацию, должны быть предупреждены
представителем работодателя о том, что эти данные могут быть
использованы лишь в целях, для которых они сообщены, от этих лиц
должно быть получено письменное подтверждение соблюдения этого
условия.
VI. Ответственность за разглашение персональных данных
6.1. Лица, виновные в нарушении норм, регулирующих получение,
обработку и защиту персональных данных работника, привлекаются к
дисциплинарной и материальной ответственности в порядке,
установленном Трудовым кодексом РФ и иными федеральными законами,
а также привлекаются к гражданско-правовой, административной и
уголовной ответственности в порядке, установленном федеральными
законами.
СОГЛАСОВАНО:
Главный бухгалтер
Руководитель юридической службы
Руководитель кадровой службы
Согласно требованиям ст. 88 ТК РФ работодатель обязан осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись. Таким актом, например, может являться приказ по организации, утверждающий список работников организации, допущенных к работе с персональными данными:
Приложение
к приказу от 00.00.0000
N 00
Список лиц, допущенных к работе с персональными данными
N п/п | Долж- ность | Фамилия, имя, отчество | Номер пункта из перечня персональ- ных данных <1>, дос- туп к которым разрешен конкрет- ному должностному лицу | Примеча- ние |
--------------------------------
<1> Нумерация пунктов приводится в соответствии с утвержденным в организации Положением об обработке и защите персональных данных.
В трудовом договоре с работником, имеющим доступ к персональным данным других работников, необходимо предусмотреть условие о неразглашении персональных данных других работников, ставших ему известными в связи с выполнением трудовых обязанностей:
┌────────────────────────────────────────────────────────┐
│4. Ответственность сторон │
│Работник обязан соблюдать порядок работы с персональными│
│данными в соответствии с Положением... │
└────────────────────────────────────────────────────────┘