Госдума в очередной раз отложила вступление в силу закона о персональных данных (№152-ФЗ). Новый срок вступления в силу этого закона – 1 июля 2011 года. Впрочем, проблемы, которые не удалось решить за последний год, вряд ли исчезнут из повестки дня через 6 месяцев. В 2009 году на то, чтобы подготовить и принять в первом чтении этот законопроект, у депутатов ушел всего месяц. Расплачиваться за дыры и недоработки всем нам предстоит еще очень долго.
Госдума в очередной раз отложила вступление в силу закона о персональных данных (№152-ФЗ). Новый срок вступления в силу этого закона – 1 июля 2011 года. Впрочем, проблемы, которые не удалось решить за последний год, вряд ли исчезнут из повестки дня через 6 месяцев. В 2009 году на то, чтобы подготовить и принять в первом чтении этот законопроект, у депутатов ушел всего месяц. Расплачиваться за дыры и недоработки всем нам предстоит еще очень долго.
Что такое персональные данные? Это любая информация, позволяющая однозначно идентифицировать человека и получить о нем дополнительные сведения. К персональным данным относится сведения о ФИО, дате и месте рождения, адрес проживания, семейном и имущественном положении, образовании и т.д. Все персональные данные делятся на 4 категории:
1 категория – данные относительно национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
2 категория – данные, позволяющие идентифицировать физическое лицо – субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
3 категория – персональные данные, позволяющие идентифицировать субъекта персональных данных;
4 категория – обезличенные и (или) общедоступные персональные данные.
Собственно, компания, которая хранит в электронном виде какие-либо сведения о сотрудниках, скорее всего, имеет дело с персональными данными 1 категории. Если же мы начинаем собирать какие-либо не обезличенные сведения о клиентах, то, в лучшем случае, это 2 категория. Таким образом, вопрос защиты персональных данных касается практически всех. В Роскомнадзоре насчитали более 7 миллионов предприятий, являющихся «операторами персональных данных».
Персональные данные работника относятся к конфиденциальной информации. Конфиденциальность означает, что любое лицо, получившее доступ к персональным данным, не должно допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. Работодатель должен обеспечивать «секретность» персональных данных работника.
Порядок обработки, хранения и других процедур по обработке персональных данных должен определяться локальным нормативным актом организации.
Вопрос о необходимости защиты информации о конкретном человеке, позволяющей его идентифицировать, для большинства из нас уже давно решен. Законодательство многих стран, прежде всего тех, которые нами относятся к числу развитых, содержит и раскрывает принципы защиты неприкосновенности частной жизни, в том числе путем защиты личной и семейной тайны, ограничивая сбор информации о человеке без его согласия только теми случаями, когда речь может идти о безопасности общества и государства.
В современном информационном мире человек становится «прозрачным» для окружающих, что только усиливает желание сохранить личную информацию в неприкосновенности.
Развитие информационно-телекоммуникационных технологий и внедрение их буквально во все сферы жизни побуждает задуматься о возможности неконтролируемого использования персональной информации, о необходимости ее защиты, а также о регламентации отношений, связанных с ее использованием.
Рассмотрим данный вопрос на самых распространенных отношениях – трудовых.
Кадровой службе организации постоянно приходится иметь дело с персональными данными работников организации. Причем, деятельность по работе с персональными данными включает в себя не только их получение как у потенциальных, так и у работающих сотрудников, но и обработку, хранение, передачу и иные виды использования этих сведений. Однако не всегда кадровики имеют полное представление о правилах работы с персональными данными, не во всех организациях разработаны и утверждены соответствующие локальные нормативные акты.
Основную правовую базу в этой сфере составляют Трудовой кодекс РФ и Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных» (вступил в силу 26.01. 20
07 г., далее – Закон №152-ФЗ).
Редакция ТК РФ, вступившая в силу в октябре 2006 года, внесла изменения в гл. 14 «Защита персональных данных работника», большинство из которых носит технический характер и связано с принятием Закона №152-ФЗ. Но среди них есть и более существенные изменения, касающиеся передачи персональных данных и наказания лиц, виновных в нарушении порядка получения, обработки и защиты персональных данных.
Информация, являющаяся персональными данными сотрудника, может быть получена (из документов и устной беседы) при заключении трудового договора между предполагаемым работником и работодателем.
Ст. 65 ТК РФ определен перечень документов, предъявляемых при заключении договора:
– паспорт или иной документ, удостоверяющий личность;
– трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
– страховое свидетельство государственного пенсионного страхования;
– документы военного учета;
– документ об образовании, квалификации или наличии специальных знаний или специальной подготовки, а также иные документы, предусмотренные законодательством.
За время трудовых отношений у работодателя накапливаются различные документы, которые и образуют личное дело работника:
– иные документы, представляемые работником (справки, резюме, грамоты и др.);
– приказы по персоналу;
– доклады и аналитические записки;
– материалы служебных проверок и расследований и т.д.
Перечень документов, из которых можно почерпнуть персональные данные работника, также является открытым. Кроме того, в зависимости от конкретной ситуации информация может быть предоставлена работником и устно, либо путем заполнения различных анкет, опросных листов. Значительная часть бумаг, содержащих персональные данные работника, находится в его личном деле.
Важно, что персональные данные работника относятся к конфиденциальной информации. Конфиденциальность означает, что любое лицо, получившее доступ к персональным данным, не должно допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания (ст. 3 Закона №152-ФЗ). Не требуется обеспечивать конфиденциальность обезличенных и общедоступных персональных данных.
Так, к обезличенным персональным данным относятся данные, в отношении которых невозможно определить их принадлежность к конкретному лицу. А если неизвестно, кому именно принадлежат эти данные, то режим конфиденциальности снимается.
К общедоступным персональным данным относятся данные, доступ к которым с согласия гражданина может быть предоставлен неограниченному кругу лиц (например, с согласия гражданина такие сведения находятся в справочниках, адресных книгах и др.). В общедоступных источниках могут содержаться сведения о профессии, квалификации. Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.
Работодатель должен обеспечивать «секретность» персональных данных работника. Как правило, сбором и обработкой персональных данных в конкретной организации занимаются сотрудники кадровых служб или бухгалтеры. В трудовом договоре с работниками, обрабатывающими персональные данные, должны быть предусмотрены обязанности по обеспечению и сохранению конфиденциальности персональных данных.
Особенности передачи персональных данных работников установлены ст. 88 ТК РФ. А именно работодатель должен соблюдать следующие требования:
– не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы его жизни и здоровью;
– не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
– предупредить лиц, получающих персональные данные работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
– осуществлять передачу данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
– разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получа
ть только те персональные данные работника, которые необходимы для выполнения конкретных функций;
– не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Порядок обработки, хранения и других процедур по обработке персональных данных работников должен определяться локальным нормативным актом организации. Каждый сотрудник организации должен быть ознакомлен с ним под роспись. Для этого в конце положения оставляют несколько чистых листов, так называемых листов ознакомления, которые прошиваются вместе с положением, на последней странице с обратной стороны ставится надпись «Прошито ___ страниц» и заверяется подписью руководителя и печатью организации. Иногда кадровики заводят журнал ознакомления с локальными нормативными актами.
Отдельно нужно сказать о содержании положения о персональных данных. При разработке данного документа необходимо включить в него:
– сведения, относящиеся к персональным данным (например, рекомендации, характеристики, анкета, размер заработной платы и так далее);
– режим доступа к персональным данным и перечень лиц, имеющих право доступа к такой информации, их права и обязанности (например, определить, что право доступа к персональным данным сотрудника имеют руководитель предприятия, менеджер по персоналу, руководители структурных подразделений (доступ к личным данным только работников своего подразделения) по согласованию с руководителем предприятия);
– права работодателя и работника в области передачи, хранения и обработки персональных данных;
– порядок накопления, систематизации, уточнения, хранения, уничтожения, использования и передачи персональных данных;
– порядок ознакомления работника с его персональными данными, получения копий документов, содержащих такие данные;
– ответственность за нарушение норм по обработке персональных данных.
Если возникает потребность в получении определенной информации о работнике с места прежней работы, то для этого необходимо, во избежание судебного разбирательства, отправлять письменный запрос, к которому должно быть приложено заявление этого работника.
Локальный акт (документ) организации о персональных данных работника может быть разработан в виде положения или инструкции. Разработкой его занимается, как правило, кадровая служба.
Четких требований к структуре и содержанию данного локального акта действующее законодательство не содержит, но по общему смыслу он должен устанавливать порядок обработки персональных данных работников, их передачи, а также права, обязанности работника и работодателя, ответственность за нарушение установленных правил.
Когда Положение будет готово, каждый работник должен быть ознакомлен с ним под расписку, которая, помимо факта ознакомления, может фиксировать удовлетворенность работника степенью заботливости работодателя о защите персональных данных работника и остается у работодателя.
Как видим, к вопросу об использовании персональных данных работодателям следует отнестись очень серьезно. В последнее время многие отрасли права обращают внимание на защиту личной информации гражданина, и мера ответственности за нарушение установленных правил и норм возрастает. Несмотря на то, что в последнее время принимаются нормативные акты в области персональных данных и усиливается ответственность в данной области, работники, как и многие работодатели, в силу малой освещенности данного вопроса слабо знают или не слышали ранее термина «защита персональных данных работников» и своих прав в рассматриваемой области.
Закон №152-ФЗ «О персональных данных» заставляет российский бизнес относиться с уважением к приватным сведениям граждан, а не только к организации защиты конфиденциальной коммерческой или промышленной информации. Данный закон обязал привести все базы персональных данных в соответствие с положениями законодательства, в том числе разработать и принять положение о персональных данных работников.
А. Агеев, юрист-консультант
____________________
Положение о работе с персональными данными работников[center][/center]
1. Общие положения
Положение о работе с персональными данными работников ___________________ разработано в соответствии с Трудовым кодексом Российской Федерации, действующим законодательством и нормативными актами
.
Настоящее Положение определяет порядок работы (получения, обработки, использования, хранения и т.д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.
2. Получение и обработка персональных данных работников
Персональные данные работника работодатель получает непосредственно от работника. Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника.
При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:
– пол;
– дату рождения;
– семейное положение;
– отношение к воинской обязанности;
– место жительства и домашний телефон;
– образование, специальность;
– предыдущее (-ие) место (-а) работы;
– заболевания, затрудняющие выполнение работником трудовых функций;
– иные сведения, с которыми работник считает нужным ознакомить работодателя.
В анкету вклеивается фотография работника.
Работодатель не вправе требовать от работника предоставления информации о политических и религиозных убеждениях и о частной жизни работника.
Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.
При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.
По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет необходимые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.
Анкета работника хранится в личном деле работника (далее – личное дело). В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел кадров, ответственный за ведение личных дел – начальник отдела кадров.
3. Хранение персональных данных работников
Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела находятся в отделе кадров в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа.
В конце рабочего дня все личные дела сдаются в отдел кадров.
Персональные данные работников могут также храниться в электронном виде на локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается 2-ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем генерального директора и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным работников. Изменение паролей заместителем генерального директора происходит не реже 1 раза в 2 месяца.
Доступ к персональным данным работника имеют генеральный директор, заместитель генерального директора, главный бухгалтер, а также непосредственный руководитель работника, специалисты отдела кадров и бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или его заместителя. При переводе работника в другой отдел личное дело работника может быть передано начальнику того отдела, в который переводится работник.
Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.
4. Использование персональных данных работников
Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций.
Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера заработной платы. На основании персональных данных работника решается вопрос о допуске работника к информации, составляющей служебную или коммерческую тайну.
При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Работодатель также не вправе принимать решения, затрагивающие интересы работника, ос
новываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.
5. Передача персональных данных работников
Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.
Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника, либо отсутствует письменное согласие работника на предоставление его персональных сведений, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.
Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.
В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.
6. Гарантии конфиденциальности персональных данных работников
Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.
Работник вправе требовать полную информацию о своих персональных данных, их обработке, использовании и хранении.
В случае разглашения персональных данных работника без его согласия работник вправе требовать от работодателя разъяснений.
Подписной лист к Положению «О защите персональных данных работников»
Обязательство о неразглашении персональных данных работников
Я, __________________________________________________ _______________________,
должность, ФИО
с Положением «О защите персональных данных работников ООО «Солнышко» ознакомлен(а). Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением своих должностных обязанностей.
Об ответственности за разглашение персональных данных работников предупрежден(а).
_______________ __________________________________________________ _____
подпись, расшифровка подписи
«______»___________________200 __ г.