Защита персональных данных работника

549
Не все руководители организаций понимают серьезность ситуации с незаконной обработкой персональных данных. И «пока не грянул гром», утвержденные в организации положения по своему содержанию зачастую носят общий характер, повторяя лишь содержание статей Трудового кодекса РФ и Закона о персональных данных1. Положения о персональных данных, носящие общий характер, неконкретны: в них не расписаны ни порядок передачи данных, ни процедура документарного оформления и т. д. При разработке положения организации необходимо заложить в него механизм, не позволяющий использовать информацию в незаконных целях. 

В п. 8 ст. 86 ТК РФ указывается, что работодатель должен ознакомить работника с документами, устанавливающими порядок обработки персональных данных работников. Таким образом, в организации обязательно должен быть локальный нормативный акт, устанавливающий порядок обработки персональных данных работников. Таким актом является Положение о защите персональных данных работника (далее — Положение).

Способы защиты информации

По способу обеспечения защиты конфиденциальной информации ее можно условно разделить на «техническую» и «психологическую». Техническую защиту можно охарактеризовать как принятие мер, направленных на устранение самой возможности «снятия» информации (защита паролем базы данных, отсутствие технической возможности копирования информации с компьютера и т. д.). Психологическая защита направлена на сознание работника, который, имея доступ к конфиденциальной информации и возможность передать ее третьим лицам, этого не делает, поскольку осознает противоправность деяния и понимает, что за незаконную передачу обязательно наступит ответственность.

В предлагаемом Положении о защите персональных данных работника закреплен механизм (средства), необходимый для защиты персональных данных в организации.

Преимущества применения Положения

На основании приведенного Положения и норм законодательства участники взаимоотношений имеют ряд преимуществ.

Работодателю:

легче производить обработку персональных данных работника, без боязни в обвинении со стороны работников в незаконном распространении персональных данных информации из-за различий во взглядах; привлечь к дисциплинарной ответственности недобросовестного сотрудника, допустившего разглашение персональных данных; не нужно получать у работника согласие на передачу персональных данных третьей стороне (контрагенту по договору).

Так, согласно п. 3.18 Положения, не требуется письменного согласия работника на передачу его персональных данных третьим лицам, когда они оказывают услуги на основании заключенных договоров. Это примечание в Положении сделано в связи с тем, что организации зачастую передают персональные данные контрагентам при оказании ими услуг (охранной фирме — список сотрудников, имеющих доступ; в медицинское учреждение при организации обязательного медицинского осмотра и т. д.). При отсутствии этого условия в Положении организации необходимо всякий раз брать письменное согласие с работника на передачу его персональных данных. Задача значительно усложняется при большой численности штата сотрудников.

Кроме того Положение позволяет грамотно подготовить отказ в предоставлении персональных данных на работника.

В соответствии с п. 3 ст. 6 Федерального закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации» адвокату предоставлено право «запрашивать справки, характеристики и иные документы от органов государственной власти, органов местного самоуправления, а также общественных объединений и иных организаций». Указанные органы и организации в порядке, установленном законодательством, обязаны выдать адвокату запрошенные им документы или их заверенные копии не позднее месячного срока со дня получения запроса адвоката.

В организации чаще всего от адвокатов приходят письменные запросы, в которых запрашиваются документы, содержащие персональные данные работника, и из запроса не ясно, есть ли согласие субъекта персональных данных на то, чтобы его данные были предоставлены адвокату. Пункт 3.21 Положения конкретно указывает, какие еще дополнительно к запросу должны быть предоставлены документы в организацию. При их отсутствии документы не предоставляются.

Добросовестному сотруднику организации легче работать с информацией и документами, содержащими персональные данные работника, не боясь быть привлеченным к ответственности, поскольку в Положении регламентированы правила обращения с персональными данными, понятен порядок действий.

Работнику организации (выступающему именно как субъект персональных данных) в случае выявления факта незаконного распространения персональных данных можно выяснить, как передавались его персональные данные третьим лицам, соблюдены ли требования Положения. От выяснения причины зависит, к какому виду ответственности будет привлечено виновное лицо.

Приложение

УТВЕРЖДЕНО

Приказом №_________«___»_____________2008 г.

ПОЛОЖЕНИЕ
о защите персональных данных работника

____________________________________________________________________
(наименование организации)

I. Общие положения

1.1. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Указом Президента РФ от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера» и другими нормативными правовыми актами.

1.2. Настоящее Положение определяет порядок обработки персональных данных работников_________ (далее по тексту — «работодатель» либо «Общество») и гарантии конфиденциальности сведений, предоставляемых работником работодателю.

1.3. Персональные данные работника являются конфиденциальной информацией.

II. Понятие и состав персональных данных работника

2.1. Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

К персональным данным работника относятся:

фамилия, имя, отчество, год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности работника;данные о семейном, социальном и имущественном положении;данные об образовании работника, наличии специальных знаний или подготовки;данные о профессии, специальности работника;сведения о доходах работника;данные медицинского характера в случаях, предусмотренных законодательством;данные о членах семьи работника;данные о месте жительства, почтовый адрес, телефон работника, а также членов его семьи;данные, содержащиеся в трудовой книжке работника и его личном деле, страховом свидетельстве государственного пенсионного страхования, свидетельстве о постановке на налоговый учет;данные, содержащиеся в документах воинского учета (при их наличии);иные персональные данные, при определении объема и содержания которых работодатель руководствуется настоящим Положением и законодательством РФ.

III. Обработка персональных данных работника

3.1. Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Обработка персональных данных работника осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности работника, контроля качества и количества выполняемой работы и обеспечения сохранности имущества, оплаты труда, пользования льготами, предусмотренными законодательством РФ и актами работодателя.

3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.3. На основании норм Трудового кодекса РФ (ст. 86), а также исходя из положений п. 2 ст. 6 Федерального закона «О персональных данных» обработка персональных данных осуществляется работодателем без письменного согласия работника, за исключением случаев, предусмотренных федеральным законом.

Получение

3.4. Все персональные данные о работнике работодатель может получить у него самого.

3.5. Работник обязан предоставлять работодателю достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Работодатель имеет право проверять достоверность сведений, предоставленных работником, сверяя данные, предоставленные работником, с имеющимися у работника документами.

3.6. В случаях, когда работодатель может получить необходимые персональные данные работника только у третьего лица, работодатель должен уведомить об этом работника и получить от него письменное согласие по установленной форме.

Работодатель обязан сообщить работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа работника дать письменное согласие на их получение.

Хранение персональных данных работника

3.7. Персональные данные работника хранятся в отделе кадров в личном деле работника. Личные дела хранятся в бумажном виде в папках и находятся в сейфе или в несгораемом шкафу.

Персональные данные работника в отделе кадров хранятся также в электронном виде на локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается системой паролей. Пароли устанавливаются начальником отдела кадров и сообщаются индивидуально сотрудникам отдела кадров, имеющим доступ к персональным данным работников.

Примечание:Хранение персональных данных работников в бухгалтерии и иных структурных подразделениях работодателя, сотрудники которых имеют право доступа к персональным данным, осуществляется в порядке, исключающем к ним доступ третьих лиц.

3.8. Сотрудник работодателя, имеющий доступ к персональным данным работников в связи с исполнением трудовых обязанностей:

обеспечивает хранение информации, содержащей персональные данные работника, исключающее доступ к ним третьих лиц.

В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные работников (соблюдение «политики чистых столов»);
при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте он обязан передать документы и иные носители, содержащие персональные данные работников, лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.

Примечание:В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным работников, по указанию руководителя структурного подразделения.

При увольнении сотрудника, имеющего доступ к персональным данным работников, документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным работников, по указанию руководителя структурного подразделения.

Использование (доступ, передача, комбинирование и т. д.) персональных данных работника

3.9. Доступ к персональным данным работника имеют сотрудники работодателя, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей.

В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией генерального директора Общества доступ к персональным данным работника может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным работника Общества, и которому они необходимы в связи с исполнением трудовых обязанностей.

3.10. В случае если работодателю оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным работников Общества, то соответствующие данные предоставляются работодателем только после подписания с ними соглашения о неразглашении конфиденциальной информации.

В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работника.

3.11. Процедура оформления доступа к персональным данным работника включает в себя:

ознакомление работника под роспись с настоящим Положением;

Примечание: При наличии иных нормативных актов (приказы, распоряжения, инструкции и т. п.), регулирующих обработку и защиту персональных данных работника, с данными актами также производится ознакомление работника под роспись.
истребование с сотрудника (за исключением генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных работника и соблюдении правил их обработки, подготовленного по установленной форме.

3.12. Сотрудники работодателя, имеющие доступ к персональным данным работников, имеют право получать только те персональные данные работника, которые необходимы им для выполнения конкретных трудовых функций.

3.13. Генеральный директор, члены совета директоров Общества имеют право доступа ко всем персональным данным работников.

3.14. Допуск к персональным данным работника других сотрудников работодателя, не имеющих надлежащим образом оформленного доступа, запрещается.

3.15. Работник имеет право на свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев, предусмотренных федеральным законом), содержащей его персональные данные. Работник имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.

3.16. Отдел кадров вправе передавать персональные данные работника в бухгалтерию и иные структурные подразделения в случае необходимости исполнения сотрудниками соответствующих структурных подразделений своих трудовых обязанностей.

При передаче персональных данных работника сотрудники отдела кадров предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и истребуют от этих лиц письменное обязательство в соответствии с п. 3.11 настоящего Положения.

3.17. Передача (обмен и т. д.) персональных данных между подразделениями работодателя осуществляется только между сотрудниками, имеющими доступ к персональным данным работников.

Доступ к персональным данным работника третьих лиц (физических и юридических)

3.18. Передача персональных данных работника третьим лицам осуществляется только с письменного согласия работника, которое оформляется по установленной форме и должно включать в себя:

фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;наименование и адрес работодателя, получающего согласие работника;цель передачи персональных данных;перечень персональных данных, на передачу которых дает согласие работник;срок, в течение которого действует согласие, а также порядок его отзыва.

Примечание:Согласия работника на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника; когда третьи лица оказывают услуги работодателю на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.

3.19. Не допускается передача персональных данных работника в коммерческих целях без его письменного согласия, оформленного по установленной форме.

3.20. Сотрудники работодателя, передающие персональные данные работников третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные работников. Акт составляется по установленной форме и должен содержать следующие условия:

уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.

Передача документов (иных материальных носителей), содержащих персональные данные работников, осуществляется при наличии у лица, уполномоченного на их получение:

договора на оказание услуг Общества;соглашения о неразглашении конфиденциальной информации; либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работника;письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные работника, ее перечень, цель использования, Ф. И. О. и должность лица, которому поручается получить данную информацию.

Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных работника Общества несет работник, а также руководитель структурного подразделения, осуществляющего передачу персональных данных работника третьим лицам.

3.21. Представителю работника (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии одного из документов:

нотариально удостоверенной доверенности представителя работника;письменного заявления работника, написанного в присутствии сотрудника отдела кадров работодателя (если заявление написано работником не в присутствии сотрудника отдела кадров, то оно должно быть нотариально заверено).

Доверенности и заявления хранятся в отделе кадров в личном деле работника.

3.22. Предоставление персональных данных работника государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.

3.23. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, за исключением случаев, когда передача персональных данных работника без его согласия допускается действующим законодательством РФ.

3.24. Документы, содержащие персональные данные работника, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.

IV. Организация защиты персональных данных работника

4.1. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем.

4.2. Общую организацию защиты персональных данных работников осуществляет начальник отдела кадров.

4.3. Начальник отдела кадров обеспечивает:

ознакомление сотрудника под роспись с настоящим Положением.

При наличии иных нормативных актов (приказы, распоряжения, инструкции и т. п.), регулирующих обработку и защиту персональных данных работника, с данными актами также производится ознакомление сотрудника под роспись;
истребование с сотрудников (за исключением лиц, указанных в п. 3.13 настоящего Положения) письменного обязательства о соблюдении конфиденциальности персональных данных работника и соблюдении правил их обработки;общий контроль за соблюдением сотрудниками работодателя мер по защите персональных данных работника.

4.4. Организацию и контроль за защитой персональных данных работников в структурных подразделениях работодателя, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.

4.5. Защите подлежат:

информация о персональных данных работника;документы, содержащие персональные данные работника;персональные данные, содержащиеся на электронных носителях.

4.6. Защита сведений, хранящихся в электронных базах данных работодателя, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.

V. Заключительные положения

5.1. Иные права, обязанности, действия сотрудников, в трудовые обязанности которых входит обработка персональных данных работника, определяются также должностными инструкциями.

5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

5.3. Разглашение персональных данных работника Общества (передача их посторонним лицам, в том числе работникам Общества, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные работника, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) Общества, влекут наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания — замечания, выговора, увольнения.

Сотрудник работодателя, имеющий доступ к персональным данным работника и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба работодателю (п. 7 ст. 243 Трудового кодекса РФ).

5.4. Сотрудники работодателя, имеющие доступ к персональным данным работника, виновные в незаконном разглашении или использовании персональных данных работников работодателя без согласия работников из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ.

1 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Академия юриста компании

Академия

Смотрите полезные юридические видеолекции

Смотреть

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Рассылка

© Актион кадры и право, Медиагруппа Актион, 2007–2016

Журнал «Юрист компании» –
первый практический журнал для юриста

Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Только для зарегистрированных пользователей

Всего минута на регистрацию и документы у вас в руках!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

Подпишитесь на рассылку. Это бесплатно.

В рассылках мы вовремя предупредим об акции, расскажем о новостях в работе юриста и изменениях в законодательстве.