VIII. Работа с персональными данными

8.1. Общие положения о персональных данных работника

Согласно ст. 85 ТК РФ, персональные данные - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Федеральной закон от 27.07.2006 N 152-ФЗ "О персональных данных" дает более развернутое определение: персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Персональные данные отнесены Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.97 N 188, к категории конфиденциальной информации, т.е. работодатель обязан обеспечивать конфиденциальность таких данных - соблюдение лицом, получившим доступ к персональным данным, требования о недопустимости их распространения без согласия субъекта персональных данных или иного законного основания. Обеспечение конфиденциальности не требуется в следующих случаях:

обезличивания персональных данных (совершения действий, в результате которых невозможно определить принадлежность персональных данных конкретному работнику);

в отношении общедоступных персональных данных, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

В связи с заключением трудового договора работодателю необходимо получить от работника персональные данные, подтвержденные документами, перечисленными в ст. 65 ТК РФ. В некоторых случаях законодательство расширяет перечень персональных данных, необходимых работодателю в связи с трудовыми отношениями. К ним относятся данные о медицинских освидетельствованиях, о наличии у работника двух и более иждивенцев (при решении вопроса о преимущественном праве оставления на работе) и некоторые другие.

Обработка персональных данных - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника, где использование - действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работника или других лиц либо иным образом затрагивающих права и свободы работника или других лиц. Кроме перечисленных ст. 85 ТК РФ действий, Федеральный закон "О персональных данных" включает в понятие обработки персональных данных также систематизацию, накопление, уточнение (обновление, изменение), распространение, обезличивание, блокирование и уничтожение персональных данных.

Передача персональных данных - понятие более узкое, нежели распространение персональных данных, поскольку под передачей понимаются действия, направленные на передачу персональных данных определенному кругу лиц, а под распространением - ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Под блокированием персональных данных подразумевается временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Уничтожение персональных данных представляет собой действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

При обработке персональных данных работодатель обязан соблюдать основные принципы, установленные законодательством:

законности целей и способов обработки персональных данных и добросовестности;

соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям работодателя;

соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Все необходимые работодателю персональные данные работника следует получать у него самого. Если же персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Уведомление работника о необходимости получения его персональных данных у третьей стороны должно содержать информацию о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Законодательством установлен запрет на обработку персональных данных о политических, религиозных и иных убеждениях работника, его членстве в общественных объединениях. Данный запрет не преодолевается даже письменным согласием работника на обработку указанных данных. Данные о частной жизни работника обрабатываются работодателем только в связи с трудовыми отношениями и исключительно на основании письменного согласия работника. К таким данным, в частности, могут быть отнесены сведения о семейном положении, наличии детей-инвалидов, другие сведения, с которыми связаны определенные юридические последствия для работника и работодателя.

Сведения о профсоюзной деятельности работника, в силу требований ст. 82 ТК РФ и некоторых других статей Кодекса, необходимы работодателю для соблюдения установленного законодательством порядка увольнения работника, являющегося членом профсоюза, а также в ряде других случаев.

Персональные данные должны храниться в порядке, обеспечивающем их защиту от неправомерного их использования или утраты. Обязанность по обеспечению такого порядка возложена на работодателя. Работники не должны отказываться от своих прав на сохранение и защиту тайны персональных данных. В связи с этим работодатель обязан совместно с работниками, их представителями вырабатывать меры защиты персональных данных работников, заключающиеся в следующем:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Меры защиты, предпринимаемые работодателем, подразделяются на технические и организационные.

К техническим мерам относятся как оснащение помещений, в которых хранятся документы, содержащие персональные данные, техническими средствами защиты, так и организация системы охраны, соблюдение порядка доступа в помещение. Помещения оборудуются охранной сигнализацией, в нерабочее время помещения пломбируются (опечатываются), в рабочее время - закрываются на ключ. Используются также шифровальные (криптографические) средства.

К организационным мерам защиты относится разработка локальных нормативных актов, регламентирующих обработку и использование персональных данных работников.

8.2. Составление Положения о персональных данных

В силу требований ст. 86 ТК РФ работодатель обязан знакомить работников и их представителей с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также с их правами и обязанностями в этой области. Статья 68 ТК РФ устанавливает требование, согласно которому работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника до подписания трудового договора. Так как персональные данные работников обрабатываются исключительно в связи с трудовой деятельностью работника, то локальные нормативные акты, регламентирующие обработку персональных данных, являются документами, связанными с трудовой деятельностью работника. Таким образом, со всеми локальными нормативными актами, регламентирующими обработку его персональных данных, работник должен быть ознакомлен до подписания трудового договора.

Ниже приведена примерная схема Положения об обработке и защите персональных данных.

ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ

"ОРГАНИЗАЦИЯ"

УТВЕРЖДАЮ

_______________________________

наименование должности руководителя

______________________

подпись

______________________

Ф.И.О.

М.П. "___"_______200__ г.

ПОЛОЖЕНИЕ

об обработке и защите персональных данных

I. Общие положения

1.1. Настоящее Положение об обработке и защите персональных

данных (далее - Положение) определяет порядок сбора, хранения,

передачи и любого другого использования персональных данных в ООО

"Организация" в соответствии с законодательством Российской

Федерации.

1.2. Настоящее Положение разработано в соответствии с

Конституцией Российской Федерации, Трудовым кодексом Российской

Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об

информации, информационных технологиях и о защите информации",

Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных

данных", иными нормативными актами, действующими на территории

Российской Федерации.

1.3. Настоящее Положение вступает в силу с 00.00.0000.

II. Основные понятия

Для целей настоящего Положения используются следующие понятия:

2.1. Работник - физическое лицо, состоящее в трудовых

отношениях с работодателем.

2.2. Работодатель - ООО "Организация".

2.3. Персональные данные - любая информация, необходимая

работодателю в связи с трудовыми отношениями и касающаяся

конкретного работника, в том числе его фамилия, имя, отчество,

год, месяц, дата и место рождения, адрес, семейное, социальное,

имущественное положение, образование, профессия, доходы, другая

информация.

2.4. Обработка персональных данных - действия (операции) с

персональными данными, включая сбор, систематизацию, накопление,

хранение, уточнение (обновление, изменение), использование,

распространение (в том числе передачу), обезличивание,

блокирование, уничтожение персональных данных.

2.5. Распространение персональных данных - действия,

направленные на передачу персональных данных определенному кругу

лиц (передача персональных данных) или на ознакомление с

персональными данными неограниченного круга лиц, в том числе

обнародование персональных данных в средствах массовой информации,

размещение в информационно-телекоммуникационных сетях или

предоставление доступа к персональным данным каким-либо иным

способом.

2.6. Использование персональных данных - действия (операции) с

персональными данными, совершаемые работодателем в целях принятия

решений или совершения иных действий, порождающих юридические

последствия в отношении субъекта персональных данных или других

лиц либо иным образом затрагивающих права и свободы субъекта

персональных данных или других лиц.

2.7. Блокирование персональных данных - временное прекращение

сбора, систематизации, накопления, использования, распространения

персональных данных, в том числе их передачи.

2.8. Уничтожение персональных данных - действия, в результате

которых невозможно восстановить содержание персональных данных в

информационной системе персональных данных или в результате

которых уничтожаются материальные носители персональных данных.

2.9. К персональным данным относятся:

2.9.1. Сведения, содержащиеся в документе, удостоверяющем

личность работника.

2.9.2. Информация, содержащаяся в трудовой книжке работника.

2.9.3. Информация, содержащаяся в страховом свидетельстве

государственного пенсионного страхования.

2.9.4. Сведения, содержащиеся в документах воинского учета.

2.9.5. Сведения об образовании, квалификации или наличии

специальных знаний или подготовки.

2.9.6. Информация медицинского характера, в случаях,

предусмотренных законодательством.

2.9.7. Сведения, содержащиеся в свидетельстве о постановке на

учет физического лица в налоговом органе на территории Российской

Федерации.

2.9.8. Сведения о семейном положении работника.

2.9.9....

III. Обработка персональных данных работника

3.1. Получение персональных данных.

3.1.1. Все персональные данные работника следует получать

лично у работника. Если персональные данные работника возможно

получить только у третьей стороны, то работник должен быть

уведомлен об этом заранее и от него должно быть получено

письменное согласие. Работодатель должен сообщить работнику о

целях, предполагаемых источниках и способах получения персональных

данных, характере подлежащих получению персональных данных и

последствиях отказа работника дать письменное согласие на их

получение.

3.1.2....

3.2. Хранение персональных данных.

3.2.1. Хранение персональных данных работников осуществляется

кадровой службой, бухгалтерией,... на бумажных и электронных

носителях.

3.2.2. В кадровой службе персональные данные хранятся на

бумажных носителях в личных карточках по форме N Т-2 и личных

делах.

Учетные данные работников хранятся кадровой службой на

электронных носителях. Кадровая служба обеспечивает их защиту от

несанкционированного доступа и копирования.

3.2.3. В бухгалтерии персональные данные хранятся в форме...

3.3. Уничтожение персональных данных.

3.3.1. Персональные данные работников хранятся не дольше, чем

этого требуют цели их обработки, и они подлежат уничтожению по

достижении целей обработки или в случае утраты необходимости в их

достижении.

3.3.2. Документы, содержащие персональные данные, подлежат

хранению и уничтожению в порядке, предусмотренном архивным

законодательством Российской Федерации.

IV. Права и обязанности работников и работодателя

4.1. В целях обеспечения защиты персональных данных,

хранящихся в личных делах работников, работники имеют право:

а) получать полную информацию о своих персональных данных и

обработке этих данных (в том числе автоматизированной);

б) осуществлять свободный бесплатный доступ к своим

персональным данным, включая право получать копии любой записи,

содержащей персональные данные работника, за исключением случаев,

предусмотренных федеральным законом;

в) требовать исключения или исправления неверных или неполных

персональных данных, а также данных, обработанных с нарушением

законодательства;

г) при отказе работодателя или уполномоченного им лица

исключить или исправить персональные данные работника - заявить в

письменной форме о своем несогласии, представив соответствующее

обоснование;

д) дополнить персональные данные оценочного характера

заявлением, выражающим его собственную точку зрения;

е) требовать от работодателя или уполномоченного им лица

уведомления всех лиц, которым ранее были сообщены неверные или

неполные персональные данные работника, обо всех произведенных в

них изменениях или исключениях из них;

ж) обжаловать в суд любые неправомерные действия или

бездействие работодателя или уполномоченного им лица при обработке

и защите персональных данных работника.

4.2. Для защиты персональных данных работников работодатель

обязан:

а) за свой счет обеспечить защиту персональных данных

работника от неправомерного их использования или утраты в порядке,

установленном законодательством РФ;

б) ознакомить работника и его представителей с настоящим

Положением и их правами в области защиты персональных данных под

расписку;

в) осуществлять передачу персональных данных работника только

в соответствии с настоящим Положением и законодательством

Российской Федерации;

г) предоставлять персональные данные работника только

уполномоченным лицам и только в той части, которая необходима им

для выполнения их трудовых обязанностей в соответствии с настоящим

Положением и законодательством Российской Федерации;

д) обеспечить работнику свободный бесплатный доступ к своим

персональным данным, включая право на получение копий любой

записи, содержащей его персональные данные, за исключением

случаев, предусмотренных законодательством;

е) по требованию работника предоставить ему полную информацию

о его персональных данных и обработке этих данных;

ж) работодатель не вправе получать и обрабатывать персональные

данные работника о его политических, религиозных и иных убеждениях

и частной жизни.

В случаях, непосредственно связанных с вопросами трудовых

отношений, работодатель вправе получать и обрабатывать

персональные данные работника о его личной жизни только с

письменного согласия работника;

з) работодатель не имеет права получать и обрабатывать

персональные данные работника о его членстве в общественных

объединениях или профсоюзной деятельности, за исключением случаев,

предусмотренных законодательством Российской Федерации.

4.3. Работники обязаны:

а) сообщать работодателю обо всех изменениях в персональных

данных в письменной форме в двухнедельный срок с момента внесения

изменений в соответствующие документы работника;

б) <...>

V. Передача персональных данных работника

5.1. Передача персональных данных работников в пределах ООО

"Организация".

5.1.1. Право доступа к персональным данным работника имеют:

- руководитель организации;

- руководитель кадровой службы;

-...

5.1.2. Право доступа к персональным данным других работников

определяется приказом руководителя организации. Работники должны

быть ознакомлены с указанным приказом под роспись.

5.1.3. Руководитель кадровой службы вправе передавать

персональные данные Работника в бухгалтерию в случаях,

установленных законодательством, необходимых для исполнения

обязанностей работников бухгалтерии.

5.2. Передача персональных данных работников третьим лицам и

сторонним организациям.

5.2.1. Работодатель вправе передавать персональные данные

работника третьим лицам и сторонним организациям только при

наличии письменного согласия работника. При отсутствии письменного

согласия работника передача персональных данных производится

исключительно в целях предупреждения угрозы жизни и здоровья

работника, а также в других случаях, установленных

законодательством.

5.2.2. При передаче персональных данных работника лица,

получающие данную информацию, должны быть предупреждены

представителем работодателя о том, что эти данные могут быть

использованы лишь в целях, для которых они сообщены, от этих лиц

должно быть получено письменное подтверждение соблюдения этого

условия.

VI. Ответственность за разглашение персональных данных

6.1. Лица, виновные в нарушении норм, регулирующих получение,

обработку и защиту персональных данных работника, привлекаются к

дисциплинарной и материальной ответственности в порядке,

установленном Трудовым кодексом РФ и иными федеральными законами,

а также привлекаются к гражданско-правовой, административной и

уголовной ответственности в порядке, установленном федеральными

законами.

СОГЛАСОВАНО:

Главный бухгалтер

Руководитель юридической службы

Руководитель кадровой службы

Согласно требованиям ст. 88 ТК РФ работодатель обязан осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись. Таким актом, например, может являться приказ по организации, утверждающий список работников организации, допущенных к работе с персональными данными:

Приложение

к приказу от 00.00.0000

N 00

Список лиц, допущенных к работе с персональными данными

N п/п	Долж- ность	Фамилия, имя, отчество	Номер пункта из перечня персональ- ных данных <1>, дос- туп к которым разрешен конкрет- ному должностному лицу	Примеча- ние

--------------------------------

<1> Нумерация пунктов приводится в соответствии с утвержденным в организации Положением об обработке и защите персональных данных.

В трудовом договоре с работником, имеющим доступ к персональным данным других работников, необходимо предусмотреть условие о неразглашении персональных данных других работников, ставших ему известными в связи с выполнением трудовых обязанностей:

┌────────────────────────────────────────────────────────┐

│4. Ответственность сторон │

│Работник обязан соблюдать порядок работы с персональными│

│данными в соответствии с Положением... │

└────────────────────────────────────────────────────────┘