Положение о защите персональных данных

Определение персональных данных работника дано в ч. 1 ст. 85 Трудового кодекса Российской Федерации: «Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника». Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» относит персональные данные к конфиденциальной информации.

В соответствии с гл. 14 ТК РФ каждая организация обязана разработать и ввести в действие локальный нормативный акт, которым определяется порядок работы с персональными данными ее работников.

Таким локальным актом, как правило, является Положение о защите персональных данных работников. Этот документ должен регламентировать в рамках отдельной организации требования к получению, обработке персональных данных работника, установить гарантии их защиты, порядок хранения и использования, а также права работника по защите его персональных данных и ответственность работодателя за их охрану и защиту. Иными словами, организация на основе российского законодательства и с учетом особенностей кадрового учета создает и закрепляет нормативным актом порядок работы с персональными данными.

Примерная структура этого документа включает следующие разделы:

1. общие положения;
2. состав персональных данных работника;
3. порядок создания, обработки, хранения персональных данных;
4. доступ к персональным данным;
5. защита персональных данных.

Законодательными и нормативными правовыми актами не установлено требований к оформлению и содержанию этого документа. Поэтому при его разработке используют общие правила оформления организационных документов: в заголовочной части указываются наименование организации, дата и номер документа, в правом верхнем углу располагается гриф утверждения. Положение утверждает руководитель организации, и с этого момента оно вступает в силу.

В разделе «Общие положения» формулируется цель разработки персональных данных, даются ссылки на законодательные акты, на основании которых создан документ, определяется порядок введения положения в действие и порядок его пересмотра. Здесь же устанавливается конфиденциальность информации и ответственность должностных лиц организации за разглашение персональных данных.

Второй раздел, «Состав персональных данных работника», включает список данных работника, которые он сообщает работодателю при наступлении трудовых отношений, и сведений, возникающих в ходе этих отношений. Кроме того, здесь должна содержаться информация, необходимая организации для предоставления в военкоматы, органы налоговой службы, социального обеспечения, Пенсионного фонда. Раздел небольшой по объему, но принципиально важный для работников организации. Так, в него могут войти следующие сведения:

1. фамилия, имя, отчество;
2. дата рождения;
3. место рождения;
4. гражданство;
5. знание иностранного языка;
6. образование;
7. специальность, профессия;
8. стаж работы;
9. состояние в браке;
10. состав семьи;
11. паспортные данные;
12. адрес места жительства (по паспорту и фактический), дата;
13. регистрации по указанному месту жительства, телефон;
14. сведения о воинском учете;
15. сведения о заработной плате.

В зависимости от направления деятельности организации этот список можно дополнить сведениями об изобретениях и патентах, о наличии государственных наград, допуске к государственной тайне, состоянии здоровья и др. Разрабатывая положение, данный раздел следует составлять после анализа всех учетных форм, применяемых в организации.

Очень часто в раздел включают и перечень документов, которые содержат персональные данные и, следовательно, также относятся к конфиденциальной информации. Это трудовой договор (дополнительные соглашения), приказы по личному составу, анкеты, личная карточка работника, личный листок по учету кадров. Полный список таких документов можно составить, изучая номенклатуру дел кадровой службы.

В разделе «Создание, обработка, хранение персональных данных», как правило, содержится информация о структурных подразделениях организации (или о должностных лицах), которые работают с персональными данными. Здесь же следует указать виды носителей (только традиционная бумажная форма, сочетание традиционной и электронной формы), на которых фиксируются персональные данные.

В четвертом разделе, «Доступ к персональным данным», устанавливается порядок пользования персональными данными каждым структурным подразделением организации. Оговаривается порядок доступа к ним должностных лиц и работника, к которому эти сведения относятся, третьих лиц по доверенности работника, порядок предоставления персональных данных другим организациям и гражданам. Например: «Персональные данные работников организации предоставляются в установленном порядке в органы Пенсионного фонда РФ, в органы социального обеспечения, контрольно-надзорным органам. Персональные данные работников организации предоставляются страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам при наличии копии договора с работником и его письменного согласия».

Здесь же следует установить и порядок предоставления персональных данных родственникам и членам семей работника. По закону это делается только с письменного согласия работника. Однако раздел «Доступ к персональным данным» можно конкретизировать и указать условия, при которых, например, сведения о заработной плате работника будут сообщаться жене работника, или матери его детей, или лицам, находящимся на его иждивении. Также следует регламентировать состав необходимых документов, подтверждающих право на подобные запросы.

В заключительном разделе положения, «Защита персональных данных», перечисляются меры защиты информации от несанкционированного доступа и разглашения. Необходимо указать, в каких структурных подразделениях организации хранятся документы и электронные носители, содержащие персональные данные. Это может быть служба кадров, бухгалтерия, служба безопасности, отдел режима и т.д. Следует описать меры защиты данных, хранящихся в бумажной форме, – запирающиеся шкафы, сейфы, опечатанное помещение, пропускной режим и т.п., а также меры защиты сведений на электронных носителях.

Мерой защиты персональных данных является и обязательство должностных лиц организации о неразглашении персональных данных. В соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» работа с такими сведениями считается неавтоматизированной при непосредственном участии человека. Следовательно, от всех сотрудников организации, имеющих отношение к получению, обработке, хранению персональных данных, должны быть получены расписки о неразглашении. Форма такой расписки может быть дана в приложении к документу. Сами расписки должны храниться в одном деле с подлинником положения. По мере смены должностных лиц эти обязательства должны обновляться.

Положение о защите персональных данных подписывается руководителем кадровой службы. Документ может быть согласован с заинтересованными должностными лицами, например работниками бухгалтерии, юридической службы, службой безопасности и др. С ним следует ознакомить весь персонал организации под расписку. Сотрудники, принимаемые на работу, знакомятся с положением о защите персональных данных точно так же, как и с другими локальными актами организации – коллективным договором, правилами внутреннего трудового распорядка, положением об оплате труда, должностной инструкцией и др. При этом в соответствии со ст. 68 ТК РФ такое ознакомление проводят под роспись и до подписания трудового договора.

Проблемным остается вопрос о получении от работника согласия на обработку его персональных данных. Статья 24 Конституции РФ устанавливает, что сбор, хранение и распространение информации о частной жизни лица без его согласия не допускаются. Исходя из этого, многие организации при оформлении приема на работу требуют от работника заполнении письменного согласия на обработку его персональных данных.

Содержание такого согласия установлено статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Этот документ должен включать:

1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2. наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3. цель обработки персональных данных;
4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6. срок, в течение которого действует согласие, а также порядок его отзыва.

В то же время следует обратить внимание на ст. 6 того же закона, которая устанавливает, что согласия субъекта персональных данных не требуется в случаях, когда обработка информации осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку основу трудовых отношений составляет договор между работником и работодателем, следуя этому положению закона, согласие работника в письменном виде можно и не получать.

* Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральный закон от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях и защите информации», Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных», Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»