2.2.3. Положение об обработке персональных данных работников
2.2.3. Положение об обработке персональных данных работников
Положение об обработке персональных данных – это локальный нормативный акт, в котором в соответствии с главой 14 ТК РФ «Защита персональных данных работника» (ст. 85–90) регламентированы требования при обработке персональных данных работника, гарантии их за щиты, хранение и использование персональных данных, права работника по защите персональных данных и ответственность работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника.
Положение об обработке персональных данных утверждается и вводится в действие приказом руководителя предприятия и является обязательным для исполнения всеми работниками. При разработке данного положения рекомендуется руководствоваться следующими принципами:
• личная ответственность работников за сохранность и конфиденциальность сведений о персональных данных работников, а также носителей этой информации;
• разбиение знания персональных данных между разными работниками предприятия;
• недопущение свободного доступа работников к документам и материалам, содержащим сведения о персональных данных;
• наличие четкой разрешительной системы доступа работников предприятия к документам, делам и базам данных, содержащих персональные данные.
В первой части документа «Общие положения» дается определение цели, для которой создается Положение об обработке персональных данных. Целью создания данного документа является обеспечение защиты персональных данных сотрудников от несанкционированного доступа, неправомерного их использования или утраты. В этом же разделе представлен список документов, на основании которых разрабатывается Положение об обработке персональных данных (Конституция РФ, ТК РФ, КоАП РФ, ГК РФ, УК РФ, Федеральный закон «Об информации, информатизации и защите информации»). Также в первой части положения определяется порядок утверждения и введения в действие Положения об обработке персональных данных.
Во второй части положения дается определение понятию «персональные данные». «Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника». Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
В состав персональных данных работника может входить следующая информация:
• анкетные и биографические данные;
• сведения об образовании;
• сведения о трудовом и общем стаже;
• сведения о составе семьи;
• паспортные данные;
• сведения о воинском учете;
• сведения о заработной плате сотрудника;
• сведения о социальных льготах;
• наименование специальности;
• занимаемая должность;
• сведения о наличии судимостей;
• адрес места жительства;
• домашний телефон;
• место работы или учебы членов семьи и родственников;
• характер взаимоотношений в семье;
• содержание трудового договора;
• состав декларируемых сведений о наличии материальных ценностей;
• содержание декларации, подаваемой в налоговую инспекцию;
• подлинники и копии приказов по личному составу;
• личные дела и трудовые книжки сотрудников;
• основания к приказам по личному составу;
• дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
• копии отчетов, направляемые в органы статистики.
Персональные данные относятся к категории конфиденциальной информации. Работодатель не имеет права требовать от работника предоставления информации, касающейся других лиц. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
Следующий раздел документа регламентирует порядок работы с персональными данными сотрудников и может называться «Обработка персональных данных».
Персональные данные следует получать у самого работника. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Работодатель не имеет права требовать у работника данные о его политических, религиозных и иных убеждениях и частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.
Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
• разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
• передавать персональные данные работника представителям работников в порядке, установленном ТК РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Раздел «Доступ к персональным данным» определяет список сотрудников, которые могут иметь доступ к этой информации. Обычно это:
• руководитель организации;
• руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);
• при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;
• сотрудники бухгалтерии;
• сотрудники службы управления персоналом;
• сотрудники компьютерных подразделений;
• сам работник, носитель данных.
Также к числу имеющих право доступа к персональным данным вне организации можно отнести государственные и негосударственные функциональные структуры в сфере своей компетенции:
• налоговые инспекции;
• правоохранительные органы;
• органы статистики;
• страховые агентства;
• военкоматы;
• органы социального страхования;
• пенсионные фонды;
• подразделения муниципальных органов управления;
• другие организации с письменного разрешения сотрудника.
Так как персональные данные являются конфиденциальной информацией, в Положении обязательно существует раздел «Защита персональных данных». Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать следующие меры:
• ограничить и регламентировать состав работников, функциональные обязанности которых требуют конфиденциальных знаний;
• установить строгое избирательное и обоснованное распределение документов и информации между работниками;
• рационально разместить рабочие мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
• ознакомить работников с требованиями нормативно – методических документов по защите информации и сохранении тайны;
• обеспечить необходимые условия в помещении для работы с конфиденциальными документами и базами данных;
• обеспечить защиту персональных данных сотрудника на электронных носителях;
• определить и регламентировать состав работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
• организовать порядок уничтожения информации;
• своевременно выявлять нарушения требований разрешительной системы доступа работниками подразделения;
• проводить воспитательную и разъяснительную работу с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
• не допускать выдачу личных дел сотрудников на рабочие места руководителей.
Для обеспечения внешней защиты персональных данных также рекомендуется разработать определенные правила:
• порядок приема, учета и контроля деятельности посетителей;
• пропускной режим организации;
• учет и порядок выдачи удостоверений;
• технические средства охраны, сигнализации;
• порядок охраны территории, зданий, помещений, транспортных средств;
• требования к защите информации при интервьюировании и собеседованиях.
Раздел «Права и обязанности работника» закрепляет права работника, регламентирующие защиту его персональных данных, и обязывает его сообщать работодателю комплекс достоверных, документированных персональных данных, состав которых установлен ТК РФ, а также своевременно сообщать работодателю об изменении своих персональных данных.
Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы. Раздел Положения об обработке персональных данных «Ответственность за разглашение конфиденциальной информации, связанной с персональными данными» констатирует, что юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
Статья 90 ТК РФ устанавливает ответственность лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника.
Статья 5.27 КоАП РФ устанавливает ответственность должностных лиц, которые должны нести дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Статья 5.39 КоАП РФ устанавливает ответственность должностных лиц за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное представление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации – наложение административного штрафа в размере от 5 до 10 минимальных размеров оплаты труда.
В соответствии с ГК РФ лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
Нарушение режима защиты, обработки и порядка использования наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
Все работники и их представители должны быть ознакомлены под расписку с Положением об обработке персональных данных, устанавливающим порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Данный текст является ознакомительным фрагментом.