Организация работы с персональными данными

(Кузнецова Т. В.)

(«Трудовое право», 2011, N 5)

ОРГАНИЗАЦИЯ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

Т. В. КУЗНЕЦОВА

Кузнецова Т. В., профессор РГГУ.

Законодательно-правовые акты, регламентирующие работу с персональными данными.

Приказ о назначении ответственного за работу с персональными данными.

Список лиц, допущенных к работе с персональными данными.

Положение о работе с персональными данными.

Одна из первостепенных задач сегодняшнего дня в каждой организации — регламентация работы с персональными данными.

В Федеральном законе от 27.07.2006 «О персональных данных» (в ред. от 23.12.2010) в ч. 3 ст. 25 гл. 6 «Заключительные положения» указано: «Информационные системы персональных данных, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года». Эти требования на основании ст. 1 Закона распространяются на всех юридических лиц, осуществляющих обработку персональных данных как с использованием средств автоматизации, так и без использования таких средств. Служба кадров организации любой организационно-правовой формы обязана привести обработку персональных данных своих работников в соответствие с действующими нормативно-правовыми актами.

К сожалению, такая работа проведена сегодня еще не во всех организациях. Дата 1 июля 2011 г. и есть изменение, внесенное в Закон 23.12.2010. Прежняя дата — 01.01.2011 — оказалась невыполнима, и срок продлен еще на полгода.

В любой организации собирают, хранят и каким-либо образом используют личную информацию своих сотрудников, в учебных заведениях еще и учащихся, в поликлиниках и больницах — пациентов, в нотариальных конторах — клиентов и т. д.

Персональные данные относятся к конфиденциальной информации. Именно с них начинается Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 06.03.1997 N 188: «Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях».

Работе с персональными данными отведена гл. 14 Трудового кодекса Российской Федерации — «Защита персональных данных работника», в которой дано определение персональных данных работника как «…информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника» (ст. 85). Обратите внимание в определении на слова «необходимая работодателю», они означают, что информация о работнике может требоваться в различном объеме в зависимости от специфики организации.

В ст. 86 Трудового кодекса РФ изложены общие требования к обработке персональных данных. Обработка данных может проводиться только с согласия работников. 27 июля 2006 г. подписан отдельный Закон «О персональных данных», и в 2007 — 2008 гг. выходят Постановления Правительства РФ, детализирующие положения Закона:

от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

от 06.07.2008 N 512 «Об утверждении Требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Следовательно, выполнение требований Закона и Постановлений Правительства обязательно как для организаций, применяющих информационные системы при обработке персональных данных, так и для организаций, пока еще ведущих работу с документами по традиционным технологиям, на бумажных носителях. Для организации работы с документами, содержащими персональные данные, необходимо провести ряд мероприятий, закрепив их в документах.

Во-первых, если организация крупная и приходится обрабатывать большое количество данных, следует приказом руководителя назначить лицо или подразделение, ответственные за работу с персональными данными и обеспечение их защиты, и наделить их соответствующими полномочиями.

Во-вторых, надо уточнить перечень персональных данных, необходимых для данной организации. Трудоемкость защиты персональных данных напрямую зависит от степени важности обработки сведений. Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категориям информации, которые подлежат более надежным методам и средствам защиты, чем данные, идентифицирующие личность. Следовательно, надо уточнить, какие данные не являются необходимыми для организации, и максимально исключить их из собираемых и, следовательно, обрабатываемых. В-третьих — подготовить список лиц, допущенных к работе с персональными данными. Список может иметь табличную форму.

N Должность Фамилия, Основания для доступа

имя,

отчество,

1 2 3 4

Список должен быть утвержден приказом руководителя. Лучше это сделать в приказе о назначении ответственного за работу с персональными данными и дать как приложение к приказу. Приказ может иметь такую типовую форму:

Наименование организации

ПРИКАЗ

от 00.00.0000 N 000

г. Тверь

О назначении ответственного за защиту персональных данных

В целях обеспечения выполнения требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»

ПРИКАЗЫВАЮ:

1. Назначить ответственным за реализацию мер, предусмотренных законодательными и нормативными правовыми актами по защите персональных данных (Ф. И.О. или отдел).

2. Внести дополнения в должностные инструкции работников, обрабатывающих персональные данные.

3. Утвердить список лиц, имеющих доступ к персональным данным (прилагается).

Директор роспись Ф. И.О.

Основным документом должно стать в каждой организации положение о работе с персональными данными.

Унифицированная форма и структура текста положения в нормативно-правовых актах не установлены. Нет и единого заголовка. Положения, уже разработанные в организациях, называются или «О защите персональных данных работника», или «Об организации работы с персональными данными работника».

Исходя из понятий «персональные данные работника» и «обработка персональных данных», приведенных в ст. 85 ТК РФ, положение должно охватывать требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а в соответствии со ст. 86 ТК — и гарантии по их защите.

Текст положения может делиться на разделы, что, на наш взгляд, более правильно, но может состоять только из пунктов. Все положения начинаются с общих положений, в которых, прежде всего, указываются цель, назначение положения. Например, «в положении о работе с персональными данными работника определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работника организации (далее приводится название организации)». Затем обязательным в положении должна быть ссылка на законодательные и нормативно-правовые акты, в соответствии с которыми положение разработано: Конституция РФ, Трудовой кодекс РФ (гл. 14), Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и защите информации», Постановление Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах передачи данных», Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В организациях, где работают государственные гражданские служащие, в положении дается ссылка на Федеральный закон от 27.07.2004 N 79-ФЗ «О государственной гражданской службе Российской Федерации», Указ Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела». Кроме того, указываются соответствующие нормативно-правовые акты субъекта Федерации, на территории которого находится организация, и перечисляются, если они есть, нормативно-правовые акты ведомства, которому она подчинена, и документы своей организации.

В большинстве уже имеющихся положений отдельным пунктом или разделом даются основные понятия, используемые в положении: «персональные данные», «обработка персональных данных», «распространение персональных данных», «использование персональных данных», «блокирование персональных данных», «уничтожение персональных данных», «обезличивание персональных данных», «конфиденциальность персональных данных», «транспортировка персональных данных», «общедоступность персональных данных» и др. Все определения берутся, как правило, из Федерального закона «О персональных данных». Специальным пунктом должно быть указано, что относится к персональным данным конкретно вашей организации, т. е. состав персональных данных, используемых в работе. В ст. 85 ТК РФ персональные данные работника указаны обобщенно.

В Федеральном законе «О персональных данных» они определены как «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация», т. е. в этом определении основные персональные данные перечислены. Но это не исчерпывающий список. В соответствии со ст. 85 ТК РФ к ним может быть добавлена информация, необходимая конкретному работодателю в связи с производственной деятельностью. Поэтому в положении о персональных данных конкретной организации перечисление сведений о работнике, указанное в Федеральном законе «О персональных данных», дополняется и вносится в положение о работе с персональными данными с учетом особенностей деятельности данной организации. Например, сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, работой с детьми, в общепите, о заработной плате и т. д.

Желательно в положении специальным пунктом сразу отнести к персональным данным все сведения, содержащиеся в документах, заполняемых работником при поступлении на работу, и документах, оформляемых в процессе трудовой деятельности: личном заявлении, анкете, приказах по личному составу, личной карточке, личном деле, трудовом договоре (контракте), дополнительном соглашении, трудовой книжке, материалах аттестационных комиссий, отчетах, аналитических и справочных материалах, передаваемых в государственные органы статистики, налоговые инспекции, головную организацию и другие учреждения.

В разделе «Сбор и обработка персональных данных» обязательно есть пункт, в котором указывается, что персональные данные получаются и обрабатываются на основании письменного согласия работника на обработку его персональных данных. В положении указывается, какое сведение должно содержать такое согласие. Обычно оно оформляется в форме заявления, в котором дается согласие на использование сведений (содержащих фамилию, имя, отчество; вид и номер основного документа, удостоверяющего личность; сведения о дате выдачи указанного документа и выдавшем его органе; адрес субъекта персональных данных, наименование и адрес организации, получающей согласие субъекта персональных данных; цель обработки персональных данных; перечень действий с персональными данными, на обработку которых дается согласие; общее описание используемых в организации способов обработки персональных данных; срок, в течение которого действует согласие и порядок его отзыва). Можно в организации составить трафаретный текст такого заявления. Например (см. табл. 1)

Таблица 1

ЗАЯВЛЕНИЕ

о согласии на обработку персональных данных

Я, _________________________________________________________________

фамилия, имя, отчество

паспорт: серия ____ номер ______ кем выдан ____________________________

дата выдачи «__» ______________________________________________________

адрес регистрации по месту жительства: ________________________________

адрес регистрации по месту пребывания: ________________________________

с целью исполнения определенных сторонами условий трудового договора

даю согласие (название организации, ее юридический адрес) на обработку

в документальной и/или электронной форме нижеследующих персональных

данных:

фамилия, имя, отчество; дата рождения; место рождения; пол;

гражданство; знание иностранного языка; образование и повышение

квалификации или наличие специальных знаний; профессия (специальность);

общий трудовой стаж, сведения о приемах, перемещениях и увольнениях по

предыдущим местам работы, размер заработной платы; состояние в браке,

состав семьи, место работы или учебы членов семьи и родственников;

паспортные данные, адрес места жительства, дата регистрации по месту

жительства; номер телефона; идентификационный номер; номер страхового

свидетельства государственного пенсионного страхования; сведения,

включенные в трудовую книжку; сведения о воинском учете; фотография;

сведения о состоянии здоровья, которые относятся к вопросу о

возможности выполнения работником трудовой функции (могут быть

добавлены и другие данные).

Настоящее согласие действует в течение всего срока действия

трудового договора. Настоящее согласие может быть отозвано мной в

письменной форме.

«__» __________ 20__ г.

Зарегистрировано в журнале учета документов личная подпись

о согласии на обработку персональных данных

работников

«__» __________ 20__ г. N _________

Отдельным пунктом положения о персональных данных обязательно перечисляется, в каких случаях не требуется согласия работника на обработку его персональных данных. В положении оговариваются также порядок передачи персональных данных, способ их хранения и защиты. Персональные данные сегодня почти повсеместно хранятся как на бумажных, так и на электронных носителях. Независимо от носителя они подлежат защите как конфиденциальная информация с ограниченным доступом (на бумажных носителях — в закрытых шкафах и сейфах, на электронных — при помощи встроенных механизмов безопасности, используемого программного обеспечения и дополнительных аппаратно-программных средств).

В разделе «Доступ к персональным данным» оговаривается порядок доступа к ним работника организации, третьих лиц по доверенности работника, других организаций. Например, в установленном порядке данные передаются в органы Пенсионного фонда, органы социального обеспечения, контрольно-надзорным и правоохранительным органам. С письменного согласия работника его персональные данные могут быть представлены родственникам и членам семьи работника, а страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам персональные данные предоставляются при наличии не только письменного согласия работника, но и копии договора этих организаций с работником. Как приложение или отдельным пунктом в положении перечисляются должностные лица организации, имеющие право доступа к персональным данным, например директор, аппарат дирекции, сотрудники бухгалтерии, сотрудники управления безопасности и режима, сотрудники службы кадров, руководители подразделения, в подчинении которых находится работник, и т. д. Заканчивается положение разделом об ответственности за нарушение норм, регулирующих обработку персональных данных.

Положение о работе с персональными данными является локальным нормативным актом организации, обязательным для исполнения всеми работниками, оно утверждается руководителем организации или приказом.

Как видно из обзора, содержание положения о работе с персональными данными — это достаточно сложный документ, при составлении которого необходимо предусмотреть все стороны и нюансы работы с персональными данными. Обычно положение разрабатывается руководителем службы кадров совместно с руководителем IT-службы, обеспечивающей защиту персональных данных в электронной форме.

——————————————————————