Составление положения о работе с персональными данными сотрудников

Поступая на работу, сотрудник представляет работодателю информацию о персональных данных (ПД). Согласно требованиям закона работодатель обязан соответствующим образом на основании внутренних нормативных актов зафиксировать данные нового работника и хранить их в недоступном для других лиц месте.

Личная информация сотрудников находится под защитой Трудового кодекса и других нормативных актов. Вопрос сохранности ПД связан со все большим использованием их для автоматизированной обработки.

Сегодня без предоставления личных данных невозможно зарегистрироваться ни на одном сайте для получения доступа к информации. Несмотря на это, положениями ТК установлено, что ПД являются не просто личной информацией, но и закрытой, а некоторые из них считаются государственной тайной.

С приходом автоматизации рабочего процесса, когда практически вся информация стала храниться не на бумажных носителях, а в цифровом (электронном) виде на компьютерах, вопрос утечки конфиденциальных данных стал очень остро.

Поэтому ответственность за разглашение возлагается не только на государственные органы, работодателя, но и на самих граждан, которые могут предоставлять личные сведения кому угодно без всяких оснований. Так, необходимо понимать отличия между личными данными и персональными.

Под личными понимается комплекс данных о физ. лице, которые предоставляются работодателю в обязательном порядке. Это не только сведения о трудовой деятельности, но и другие, касающиеся личной жизни физ. лица и его семьи.

Персональные данные являются конфиденциальной информацией, которая не может разглашаться работодателем, должностными лицами или кем-либо, кому она стала известна. Доступ к персональным данным на предприятиях в первую очередь получают сотрудники кадрового отдела. В их обязанности входит не только получение данных у сотрудников, но и обработка, хранение, передача по требованию должностных лиц, использование.

Для работы с ПД каждая организация должна разработать локальные нормативные акты, правилами которых обязаны руководствоваться ответственные лица. Ответственность за нарушение правил работы с ПД возлагается на руководство предприятий и ответственных лиц.

Основные понятия и требования Закона

В Трудовом кодексе сказано, что к ПД относится информация, связанная с трудовыми отношениями конкретного работника. Все, что связано с получением, хранением, комбинированием, передачей, использованием ПД законодатель называет обработкой.

Правила или инструкция по работе с ПД разрабатывается работодателем на основании требований ТК. Так, ПД получаются непосредственно у физ. лица. Если предполагается их получить у третьего лица, то сотрудника следует предварительно уведомить и взять у него письменное разрешение.

В этом случае сотруднику сообщается о цели получения информации о нем, источниках и способе, к которым желает прибегнуть работодатель. Также гражданину сообщают, какие именно ПД жалеет от третьих лиц получить работодатель или другое должностное лицо. Если сотрудник откажется дать письменное согласие, его следует предупредить о последствиях отказа, что указано в ст. 86, в п. 3.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

ПД каждого гражданина можно извлечь из его документов. Задача работодателя не только их получить, но и защитить от утраты, попадания в «чужие руки». Это указано в ст. 86, в п. 7 и ФЗ № 152, которым регулируется процедура хранения и обработки подобной информации.

Федеральный закон №152-ФЗ

Персональные данные сотрудников могут храниться в:

• Анкетах или др. формах, которые заполняются при поступлении на работу во время собеседования. К таковым ПД относятся анкетные и биографические.
• Паспорте или другом документе, удостоверяющем личность, копии которых представляются работодателю.
• Трудовой книжке, это сведения о трудовом стаже, занимаемых ранее должностях и предыдущих местах работы кандидата.
• Страховом пенсионном свидетельстве.
• Документах воинского учета, откуда можно получить информацию о воинской обязанности.
• Документах об образовании, оттуда можно извлечь информацию о полученной гражданином специальности, наличии квалификации, различных знаний.
• Личной карточке, заполняемой кадровой службой по ф. Т-2. Учет обязательно ведется каждым работодателем, туда вносится информация на основании документов, которые представит работник при устройстве на работу и на протяжении трудовой деятельности.
• Брачном свидетельстве и о рождении детей.
• Справке о доходах, где указываются личные данные гражданина, о НДФЛ, который начислялся и удерживался. Ее можно попросить представить с предыдущего места работы.
• Трудовом договоре, где обычно находится информация о занимаемой должности, ежемесячной доходе, месте работы и другая.
• Приказах, которые оформляются по личному составу предприятия. Приказы оформляются при приеме на работу и увольнении, переводе не другую должность или в другое подразделение, предоставлении отпусков, премировании, т. е. согласно событиям, которые связаны с трудовой деятельностью сотрудника.

Положение о работе с персональными данными сотрудников представляет на предприятиях внутренний документ, где регулируются вопросы обработки и хранения информации. ФЗ № 152 требует, чтобы работодатели разрабатывали такой документ самостоятельно.

Каких-либо требований к составлению не предъявляется, как и нет для него унифицированной формы. Положение должно быть разработано и утверждено приказом руководства, сотрудников следует ознакомить с внутренним документом под подпись. Факт ознакомления с Положением можно фиксировать в трудовом договоре для тех, кто устраивается на работу позже.

Отдельным приказом устанавливается перечень лиц, которые должны в силу профессиональных обязанностей иметь доступ к ПД. Этих же лиц требуется прописать в самом Положении.

Сегодня, когда практически вся информация хранится в электронном виде, для ее защиты необходимо установить пароли, которые могут быть известны только ответственным сотрудникам, указанным в специальном приказе о доступе к базам данных предприятия.

На этих лиц возлагается ответственность о неразглашении сведений, касающихся сотрудников предприятия. Дополнительно каждое ответственное лицо может подписать обязательство о неразглашении конфиденциальной информации.

Образец Положения о персональных данных

Какая информация считается личной

Какие документы сотрудник представляет при устройстве на работу, чтобы работодатель мог почерпнуть из них необходимую информацию:

• паспорт (гражданский, иностранный) или другой документ, удостоверяющий личность;
• заполненную анкету по форме предприятия;
• пенсионное свидетельство;
• свидетельство о медицинском страховании;
• военный билет;
• удостоверение водителя;
• диплом об окончании учебного заведения или курсов, другой документ, свидетельствующий о получении профессии;
• другие по требованию.

В некоторых компаниях занять определенную должность можно, если будут представлены дополнительные сведения, свидетельствующие, что гражданин может заниматься деятельностью подобного рода, например, характеристика с прежнего места работы.

В таких случаях от приступающего к трудовым обязанностям потребуется информация:

• об отсутствии судимости или открытого уголовного дела, привлечения к административной ответственности на протяжении последнего года;
• о наличии дееспособности и другие медицинские освидетельствования, например, о психическом здоровье;
• о том, что физлицо не находится и не находилось на учете в наркодиспансере;
• об отсутствии тяжелых или хронических заболеваний;
• о возможности исполнять обязанности определенного рода, когда ответственность связана с объектами повышенной опасности;
• о том, что у гражданина есть право, защищенное законом, занимать такую должность.

Например, у некоторых граждан, принимаемых в силовые структуры или для работы в госорганах, берут отпечатки пальцев, данная информация является строго персональной и защищенной.

Когда ПД формируются на протяжении трудовой деятельности, они фиксируются в:

• приказах о приеме на работу, увольнении или переводе на другую должность, о поощрениях и премиях, предоставленных отпусках, о направлении в командировку и др.;
• личной карточке сотрудника;
• табеле учета рабочего времени;
• расчетных и платежных ведомостях;
• лицевых счетах;
• других документах.

Хранить, обрабатывать и систематизировать конфиденциальную информацию могут только лица, назначенные руководством, круг которых обычно очень ограничен на любом предприятии. Обрабатывать информацию о физлице можно только с его письменного разрешения, что касается не только конфиденциальных данных, но и любых персональных.

Классификация

ПД работников обычно хранятся в отделе кадров, некоторые могут находиться в других отделах, которые занимаются их обработкой. Например, если на предприятии установлен усиленный режим охраны, сведения о сотрудниках могут храниться в этом отделе. Отдел кадров собирает информацию с работников при их поступлении на работу, затем он обрабатывает ее и хранит у себя, но также может передавать в другие отделы.

Минимальный перечень документов для приема на работу установлен ТК. В ст. 349, в п. 1 сказано, что сотрудники государственных структур, например, обязаны предоставлять персональную информацию не только о себе, но и своих близких.

Статья 349. Регулирование труда лиц, работающих в организациях Вооруженных Сил Российской Федерации

Это связано с выполнением ими профессиональных обязанностей. Так, работники государственного аппарата не имеют права использовать свое положение в личных целях или для помощи родственникам.

Трудовой кодекс разделяет личные данные сотрудников на 4 вида, – персональную информацию:

• общую;
• специальную;
• появляющуюся на протяжении трудовой деятельности;
• о близких родственниках.

Классификация ПД при обработке и хранении в дальнейшем помогает быстро получить доступ к необходимой информации, которую могут запрашивать должностные лица или контролирующие организации.

Хранение и использование

ТК в ст. 87 требует от работодателей установить порядок хранения, а также использования данных о сотрудниках. Определенные правила обычно включаются в локальный внутренний документ – Положение, но его формирование должно отвечать требованиям ТК и других законодательных актов.

Обычно документы, в которых содержатся ПД сотрудников, объединяются в личные дела, порядок ведения которых устанавливает конкретный работодатель. Срок хранения документов, в которых содержатся ПД, должен быть определен по Перечню типовых бумаг, формирующихся в процессе управленческой деятельности организации.

Статья 87. Хранение и использование персональных данных работников

В течение 75 лет необходимо хранить личные дела сотрудников, независимо от того, работают они на предприятии или уже уволились.

Постоянно должны храниться личные дела сотрудников, которые:

• руководят предприятиями;
• относятся к руководящим, исполнительным, контролирующим органам предприятий;
• имеют государственные и иные звания, награды, премии, ученые степени.

Основным документом, в котором отображается трудовая и профессиональная деятельность, является трудовая. Порядок хранения книжек устанавливается Правилами для их ведения и хранения, которые утверждены Постановлением Правительства № 225 (16.04.03). В п. 45 говорится, что за сохранность трудовых, заполнение, выдачу несет ответственность работодатель.

Распоряжаться этими документами работодатель должен назначить на предприятии конкретного сотрудника специальным приказом. Документы по учету трудовой деятельности и ее оплаты, в которых также хранятся ПД, относятся к первичной документации. Она должна оформляться по унифицированным формам, утвержденным Постановлением Госкомстата № 1 (05.01.04).

Требования к хранению некоторых документов, содержащих ПД, должны находиться в учредительных бумагах, что утверждает законодатель в Распоряжении № 358-р (21.03.94).

К ним относится информация:

• о личном составе уволившихся работников по причине ликвидации предприятия или реорганизации;
• о личном составе вновь созданного предприятия после ликвидации юрлица;
• о гражданах, которые выполняли работу по договору на предприятии, которое ликвидировалось.

Данные правила необходимо размещать в учредительных документах по причине еще и того, что после ликвидации некоторых предприятий документы с ПД сотрудников требуется передавать в государственные архивы.

Поскольку за сохранность ПД отвечает работодатель, он обязан на предприятии создать условия для хранения документов. Например, к помещению, где хранится конфиденциальная информация, должен быть организован особый режим доступа, приняты меры от случайного уничтожения документов или баз данных, др.

Согласие работника

В ФЗ № 152, в ст. 6, п. 1, подп. 1 говорится, что для обработки ПД физлицо должно дать письменное согласие. В некоторых случаях такое согласие не требуется, например, когда обработка данных осуществляется оператором в рамках его должностных обязанностей, которые на него возложил работодатель. Так, работодатель обрабатывает данные вновь приступившего к работе сотрудника или давно трудящегося на предприятии с целью выполнения условий трудового соглашения.

Работодателю требуется подготовить первичные документы, составить отчетность, подаваемую в контролирующие органы и Фонды, представить сведения о доходах сотрудников, удержании и перечислении налогов, др. Фактически работодатель действует в рамках закона.

Несмотря на это, некоторые руководители перестраховываются и запрашивают у сотрудников разрешения, поскольку федеральный закон не дает четких формулировок по данному вопросу, а ТК его вообще не рассматривает. Но существуют и другие ситуации, например, личные данные сотрудника компании, в том числе и фото, необходимо разместить в интернете, на информационном стенде, в другом общедоступном месте, тогда согласие лучше получить.

В письменном согласии сотрудника необходимо указать:

• его Ф. И. О.;
• адрес прописки (регистрации);
• юридический адрес работодателя;
• паспортные данные;
• цель обработки ПД, например, постановка на кадровый учет и др.;
• перечень сведений, необходимых для обработки;
• действия, которые сотрудник разрешает совершать со своими ПД;
• срок действия разрешения;
• подпись и дату оформления документа.

Правила составления положения о работе с персональными данными сотрудников

Как было сказано выше, Положение о работе с персональными данными сотрудников должны разрабатываться каждым работодателем.

Примерный образец такого документа можно найти в интернете, особых требований к его форме и структуре законодатель не предъявляет, но можно предположить, что он должен состоять из таких разделов:

1. Общие положения, где регламентируется цель создания локального акта, вопросы, определяющие порядок получения информации, ведение учета, хранения данных и др. В данный раздел следует включить указание на законодательные акты.
2. Понятие и состав ПД. Определение ПД можно взять из ТК, ст. 85 и ФЗ № 152. Также необходимо конкретно указать, какие данные следует относить к персональным.
3. Обязанности работодателя в отношении сохранности информации, использования и обработки.
4. Обязанности сотрудника по передаче ПД и право контролировать обращение работодателя с информацией.
5. Обработка ПД, как работодатель предполагает получать и хранить информацию.
6. Передача данных, каким образом ПД будут передаваться между отделами предприятия, сторонним организациям, государственным ведомствам.
7. Доступ к ПД, куда следует включить список лиц, которые получат право обращаться с информацией.
8. Защита, каким образом работодатель собирается оградить сведения от несанкционированного доступа.
9. Ответственность за нарушение сохранности данных, какие санкции будут наложены на ответственного сотрудника.

Положение утверждается приказом руководителя, все сотрудники обязаны с ним ознакомиться.

Ответственность за нарушение

ТК, ст. 90 предусмотрена ответственность для лиц, которые нарушают нормы обработки и защиты персональной информации:

• дисциплинарные взыскания;
• административная (штрафные санкции);
• материальная;
• гражданско-правовая;
• уголовная.

В качестве дисциплинарного взыскания к ответственному может быть применен выговор, замечание, в редких случаях ему грозит освобождение от занимаемой должности с последующим увольнением. Такие взыскания могут быть применены только к работникам, у которых в трудовых соглашениях содержится обязанность соблюдать Положение о работе с ПД.

Трудовое соглашение с работником, который разгласил ПД, расторгается по инициативе работодателя, что разрешено ТК, ст. 81, п. 6.

Статья 81. Расторжение трудового договора по инициативе работодателя

Законодательный документ (КоАП), регламентирующий административную ответственность, в ст. 13.11 говорит, что за нарушение порядка работы с ПД штрафы налагаются в размере:

3–5 МРОТ	На ответственных лиц.
5–10 МРОТ	На должностных лиц.
50–100 МРОТ	На юридических лиц.

Материальная ответственность предусмотрена для лиц, обрабатывающих ПД, к таковым чаще всего относятся сотрудники отдела кадров. Работодатель обязан оплатить физ. лицу нанесенный ущерб.

Привлечь к гражданско-правовой ответственности можно также в виде денежной выплаты пострадавшему за причиненный вред, если в результате разглашения ПД, например, его честь была опорочена, а деловая репутация испорчена. О такой ответственности законодатель говорит в ГК, в ст. 150–152.

Статья 150. Нематериальные блага

Статья 151. Компенсация морального вреда

Статья 152. Защита чести, достоинства и деловой репутации

К уголовной ответственности можно привлечь за:

• незаконные действия с ПД о личной жизни (УК, ст. 137);
• отказ представить документы или материалы, затрагивающие права и свободу граждан, в результате чего интересам физлица был нанесен ущерб (УК, ст. 140).

Статья 137. Нарушение неприкосновенности частной жизни

Статья 140. Отказ в предоставлении гражданину информации