Оформляем документы для защиты личных данных работников №4 (117) 2012

С 1 июля 2011 года Закон о персональных данных действует в новой редакции. Многие поправки затронули обязанности операторов по обработке персональных данных, коими, напомним, являются все компании и предприниматели, если у них есть работники. Поэтому далее о таких обязанностях и поговорим. В частности, о том, как в свете последних поправок работодатели должны оформлять основные документы в сфере защиты персональных данных (ПД) своих работников. Ведь решение этого вопроса руководитель часто \”вешает\” на главного бухгалтера, считая его универсальным специалистом.
С 1 июля 2011 года Закон о персональных данных действует в новой редакции. Многие поправки затронули обязанности операторов по обработке персональных данных, коими, напомним, являются все компании и предприниматели, если у них есть работники. Поэтому далее о таких обязанностях и поговорим. В частности, о том, как в свете последних поправок работодатели должны оформлять основные документы в сфере защиты персональных данных (ПД) своих работников. Ведь решение этого вопроса руководитель часто \”вешает\” на главного бухгалтера, считая его универсальным специалистом.

Положение о персональных данных
Любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты ПД работников. Удобнее это сделать в одном локальном нормативном акте, который должен быть утвержден приказом и может именоваться как угодно, чаще всего – Положением о персональных данных.
Вот что должно содержаться в Положении о ПД:
– перечень обрабатываемых ПД. То есть всех тех ПД работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т.д.;
– цели обработки ПД. Их можно переписать из Трудового кодекса (п. 1 ст. 86 ТК РФ);
– перечень действий с ПД. Они перечислены в определении понятия \”обработка персональных данных\”. Например, это сбор ПД, их накопление, уточнение, хранение, удаление и т.п. В принципе, работодатели могут предпринимать все из указанных в этом определении действий;
– права и обязанности работников в сфере обработки ПД. Их тоже можно переписать из Закона о ПД и Трудового кодекса. К примеру, работники имеют право получать доступ к своим ПД и информацию об их обработке;
– порядок обработки ПД, в том числе хранения, использования и передачи. Здесь нужно указать:
– общие требования к обработке ПД. В частности, все ПД работника нужно получать у него самого. Обрабатывать их можно лишь в соответствии с целями их сбора, нельзя сообщать их третьим лицам без согласия работника. Работодатель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки ПД, разрешать доступ к ПД только уполномоченным работникам;
– состав и перечень ваших мер по обеспечению защиты ПД. Например, перечислите, где хранятся ПД, кто из работников имеет доступ к ним без дополнительного разрешения, как оформляется допуск к ПД иным работникам, какие используются средства защиты информации в компьютерах и т.п.;
– ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственность.

Общество с ограниченной ответственностью \”Стройцентр\”
ПРИКАЗ №25-к
01.07.2011 г. г. Москва

Во исполнение положений п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 г. №152-ФЗ \”О персональных данных\” ПРИКАЗЫВАЮ:
Назначить главного бухгалтера Гарипову Г.А. с 04.07.2011 г. ответственной за организацию обработки персональных данных.
Внести изменения в должностную инструкцию Гариповой Г.А. в связи с новым назначением.
Установить Гариповой Г.А. ежемесячную доплату на время исполнения функций ответственного за организацию обработки персональных данных в размере 10% от должностного оклада.

Генеральный директор ООО \”Стройцентр\” С.В. Соколов

С приказом ознакомлена, об ответственности за нарушение порядка обработки и защиты персональных данных работников, в том числе за их разглашение, предупреждена.
\”01\” июля 2011 г. Г.А. Гарипова

Приказ о назначении ответственного лица
Работодатели (только организации) теперь должны назначать лицо, ответственное за организацию обработки ПД.
К уровню квалификации ответственного лица никаких требований нет. Поэтому это может быть любой ваш работник.
Для назначения ответственного работника издайте об этом приказ. Например, такой.
Согласие работника на обработку персональных данных
Для обработки ПД работников лишь в целях исполнения трудового договора получать у них согласие не нужно. Например, не понадобится согласие работника на указание его ПД в кадровой документации, на передачу ПД между структурными подразделениями работодателя, при оформлении на него доверенности на представительство. Также согласия не требуется и в случаях:
– сбора ПД у соискателей, так как это делается в целях заключения трудового договора по их инициативе;
– сдачи персонифицированной отчетности в органы ПФР, отчетности по НДФЛ в ИФНС, хранения документов с ПД в течение установленных сроков и в других подобных ситуациях, когда работодатель исполняет возложенные на него законодательством обязанности;
– передачи ПД работников страховой компании в целях заключения договора на их добровольное медицинское страхование (ДМС) либо передачи ПД иным лицам для заключения иных договоров, по которым работник будет являться выгодоприобретателем;
– обработки общедоступных ПД работников. Например, тех ПД работника, по которым он дал письменное согласие на их общедоступность.
В остальных случаях обработки ПД работников, в том числе передачи ПД третьим лицам, у работников придется получать согласие. К примеру, при передаче:
– сведений о должности и размере зарплаты работника банку, запрошенных им в связи обращением этого работника за получением кредита;
– копий дипломов работников лицензирующему органу для получения лицензии;
– ПД работников сторонней организации, оказывающей услуги по ведению бухучета.
Что должно содержать согласие, покажем на примере.
Уведомление об обработке персональных данных
До начала обработки ПД операторы должны направлять в органы Роскомнадзора специальное уведомление.
Однако работодатели от такой обязанности освобождены (пп. 1, 2 ч. 2 ст. 22 Закона №152-ФЗ). При этом то, каким способом вы обрабатываете ПД работников (вручную, на компьютере или смешанно), не важно. И пусть вас не смущают положения Закона о ПД, предписывающие уведомлять органы Роскомнадзора об обработке ПД с использованием средств автоматизации. Они действуют, только если вы обрабатываете ПД еще и иных граждан.
Если вам пришел запрос из органа Роскомнадзора с просьбой представить уведомление об обработке ПД, то в течение 30 дней со дня его получения вы должны направить:
– если вы обрабатываете ПД работников не только в рамках трудовых отношений (например, передаете ПД страховой компании для заключения договора ДМС) – уведомление об обработке ПД. Кстати, в этом случае уведомление следует подать, не дожидаясь запроса. Сделать это нужно до начала такой обработки, а если вы обрабатывали так ПД до 1 июля 2011 г. – не позднее 1 января 2013 г.;
– если вы обрабатываете ПД работников лишь в соответствии с трудовым законодательством – письмо о том, что вы можете обрабатывать ПД без уведомления на основании п. 1 ч. 2 ст. 22 Закона №152-Ф339.
Иначе орган Роскомнадзора может попытаться оштрафовать вас за непредставление ему этой информации.

Договор на обработку персональных данных третьим лицом
Когда вы поручаете обработку ПД работников другому лицу (например, передаете функции ведения бухгалтерского и налогового учета сторонней организации), то в договоре с этим лицом нужно предусмотреть:
– перечень его действий с ПД;
– цели обработки им ПД;
– его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность их обработки;
– требования к защите им ПД.
Например, можно включить в договор такой раздел.

Документы по обеспечению доступа к персональным данным
Доступ к ПД работников должны иметь только специально уполномоченные лица. Поэтому перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться ПД, следует утвердить приказом.
В этот перечень войдут, например, руководитель, его заместители, работники отдела кадров, бухгалтерии, службы безопасности, юрист и даже секретарь, ведь часто именно он бронирует гостиницу и покупает билеты для работников, направляемых в командировку. Допуск к ПД иных работников следует фиксировать в журнале либо оформлять письменные разрешения руководителя.
Кроме того, с работников, имеющих доступ к ПД, следует взять расписку о неразглашении. А можно прописать такую обязанность и в трудовом договоре.

Документы по защите персональных данных в информационных системах
Если у вас есть информационные системы персональных данных (к примеру, программа 1С или любая другая программа, содержащая ПД, даже таблицы в Excel), то вам нужно иметь целый пакет документов по защите обрабатываемых в ней ПД. Подробно рассматривать эту документацию мы не будем. Ведь составлять ее – это работа не бухгалтера, а, скорее, системного администратора или даже стороннего специалиста.
Как видите, требований к обработке ПД уйма. Поэтому без Положения о ПД, в котором компактно собрано все самое необходимое для работы с такими данными, просто не обойтись. Ведь из него будет видно, какие ПД нужно собрать с работников, как их обрабатывать и защищать (например, хранить документы с ПД в сейфе, установить на компьютеры пароли, шифровать электронные сообщения и документы с ПД, отсылаемые третьим лицам).
И не забывайте, что операторы обработки ПД – это не только работодатели. Поэтому законодательство о защите ПД нужно соблюдать при обработке ПД не только работников, но и иных категорий физлиц. Например, если вы заключаете с гражданами какие-либо гражданско-правовые договоры, ведете в компьютере базу данных клиентов-физлиц или контактных лиц ваших контрагентов с указанием их ФИО, должности, номера телефона, даты рождения.
При этом самое важное – не разглашать ПД третьим лицам. Так будет меньше жалоб и, соответственно, проверок. Ведь по своей инициативе органы Роскомнадзора проверяют в основном только крупные компании, работающие с населением: банки, операторов связи, коммунальщиков, почту, медицинские клиники и др.
Н. Мацепуро, журнал \”Главная книга\”, №24, 2011

_______________________________________________

СОГЛАСИЕ на обработку персональных данных

Я, Иванов Иван Иванович, паспорт серии 77 08 №123456, выдан ОВД Лефортово г. Москвы 15.08.2005, зарегистрированный по адресу: г. Москва, Рязанский проспект, д. 20, кв. 96, даю согласие ООО \”Стройцентр\” (г. Москва, ул. Большая Пироговская, д. 53 корп. 1) на передачу всех моих персональных данных, обрабатываемых им в целях исполнения заключенного между нами трудового договора и выполнения возложенных на него законодательством обязанностей, в ООО \”Нивал\” (г. Москва, ул. Профсоюзная, д. 34, корп. 2) в целях их любой обработки в рамках договора оказания услуг по ведению бухгалтерского учета б/н от 03.03.2011 г.
Настоящее согласие действует в течение всего срока действия трудового договора и может быть мною отозвано в письменном виде.

\”22\” августа 2011 г. Иванов И.И.
_______________________________________________
ДОГОВОР оказания услуг по ведению бухгалтерского учета
3 марта 2011 г. г. Москва


8. Условия обработки Исполнителем персональных данных работников Заказчика.
Исполнитель по поручению Заказчика в целях расчета заработной платы, пособий и иных выплат, а также составления и сдачи отчетности в органы ФНС России и внебюджетные фонды совершает все необходимые действия по обработке персональных данных работников Заказчика.
Исполнитель обязуется соблюдать конфиденциальность полученных при исполнении настоящего договора персональных данных и обеспечивать их безопасность при обработке, принимая все необходимые меры в соответствии с требованиями действующего законодательства.
По окончании действия настоящего договора Исполнитель обязуется прекратить обработку персональных данных работников Заказчика, передав ему всю подготовленную во исполнение договора документацию, содержащую такие данные, и удалив их из своих электронных баз данных.

_______________________________________________
Трудовой договор №25
27 октября 2011 г. г. Москва


3. Обязанности Работника.
3.1. Работник обязуется соблюдать конфиденциальность в отношении любых персональных данных, доступ к которым он получит при исполнении своих трудовых обязанностей, как в период действия настоящего договора, так и по его прекращении.

Понравилась статья, поделитесь с друзьями

Добавить комментарий

Войти с помощью:  
Top