Оформляем документы для защиты личных данных работников

С июля этого года Закон о персональных данныхФедеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) действует в новой редакциист. 3 Федерального закона от 25.07.2011 № 261-ФЗ. Многие поправки затронули обязанности операторов по обработке персональных данных, коими, напомним, являются все компании и предприниматели, если у них есть работникип. 2 ст. 3 Закона № 152-ФЗ. Поэтому далее о таких обязанностях и поговорим. В частности, о том, как в свете последних поправок работодатели должны оформлять основные документы в сфере защиты персональных данных (ПД) своих работников. Ведь решение этого вопроса руководитель часто вешает на главного бухгалтера, считая его универсальным специалистом.

Положение о персональных данных

Любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты ПД работниковп. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ; п. 8 ст. 86, статьи 87, 88 ТК РФ. Удобнее это сделать в одном локальном нормативном акте, который должен быть утвержден приказом и может именоваться как угодно, чаще всего — Положением о персональных данных.

Вот что должно содержаться в Положении о ПД:

• перечень обрабатываемых ПДп. 2 ст. 3 Закона № 152-ФЗ. То есть всех тех ПД работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.;
• цели обработки ПДп. 2 ст. 3, ч. 2 ст. 5 Закона № 152-ФЗ. Их можно переписать из Трудового кодексап. 1 ст. 86 ТК РФ;
• перечень действий с ПДп. 2 ст. 3 Закона № 152-ФЗ. Они перечислены в определении понятия «обработка персональных данных». Например, это сбор ПД, их накопление, уточнение, хранение, удаление и т. п.п. 3 ст. 3 Закона № 152-ФЗ В принципе, работодатели могут предпринимать все из указанных в этом определении действий;

• права и обязанности работников в сфере обработки ПДп. 8 ст. 86 ТК РФ. Их тоже можно переписать из Закона о ПД и Трудового кодексаст. 14 Закона № 152-ФЗ; ст. 89 ТК РФ. К примеру, работники имеют право получать доступ к своим ПД и информацию об их обработкеч. 1 ст. 14, ч. 1 ст. 18, ч. 1 ст. 20 Закона № 152-ФЗ;
• порядок обработки ПД, в том числе хранения, использования и передачип. 8 ст. 86, статьи 87, 88 ТК РФ. Здесь нужно указать:

— общие требования к обработке ПДстатьи 5—7, ст. 9 Закона № 152-ФЗ; ст. 86, ст. 88 ТК РФ. В частности, все ПД работника нужно получать у него самогоп. 3 ст. 86 ТК РФ, обрабатывать их можно лишь в соответствии с целями их сборач. 4 ст. 5 Закона № 152-ФЗ; п. 1 ст. 86 ТК РФ, нельзя сообщать их третьим лицам без согласия работникаст. 7 Закона № 152-ФЗ; ст. 88 ТК РФ. Работодатель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки ПДп. 8 ст. 86 ТК РФ, разрешать доступ к ПД только уполномоченным работникамст. 88 ТК РФ;

— состав и перечень ваших мер по обеспечению защиты ПДст. 18.1, ст. 19 Закона № 152-ФЗ. Например, перечислите, где хранятся ПД, кто из работников имеет доступ к ним без дополнительного разрешения, как оформляется допуск к ПД иным работникам, какие используются средства защиты информации в компьютерах и т. п.;

• ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственностьст. 90 ТК РФ; ч. 1 ст. 24 Закона № 152-ФЗ.

Совет

Если у вас уже есть Положение и оно составлялось в соответствии с прежней редакцией Закона о ПД, то Положение нужно доработать с учетом последних поправок.

Приказ о назначении ответственного лица

Работодатели (только организации) теперь должны назначать лицо, ответственное за организацию обработки ПДч. 1 ст. 22.1 Закона № 152-ФЗ.

К уровню квалификации ответственного лица никаких требований нет. Поэтому это может быть любой ваш работник.

Для назначения ответственного работника издайте об этом приказ. Например, такой.

Согласие работника на обработку персональных данных

Для обработки ПД работников лишь в целях исполнения трудового договора получать у них согласие не нужноп. 5 ч. 1 ст. 6 Закона № 152-ФЗ. Например, не понадобится согласие работника на указание его ПД в кадровой документации, на передачу ПД между структурными подразделениями работодателя, при оформлении на него доверенности на представительство.

Также согласия не требуется и в случаях:

• сбора ПД у соискателей, так как это делается в целях заключения трудового договора по их инициативеп. 5 ч. 1 ст. 6 Закона № 152-ФЗ;
• сдачи персонифицированной отчетности в органы ПФР, отчетности по НДФЛ в ИФНС, хранения документов с ПД в течение установленных сроков и в других подобных ситуациях, когда работодатель исполняет возложенные на него законодательством обязанностип. 2 ч. 1 ст. 6 Закона № 152-ФЗ;
• передачи ПД работников страховой компании в целях заключения договора на их добровольное медицинское страхование (ДМС) либо передачи ПД иным лицам для заключения иных договоров, по которым работник будет являться выгодоприобретателемп. 5 ч. 1 ст. 6 Закона № 152-ФЗ;
• обработки общедоступных ПД работниковп. 10 ч. 1 ст. 6 Закона № 152-ФЗ. Например, тех ПД работника, по которым он дал письменное согласие на их общедоступность.

В остальных случаях обработки ПД работников, в том числе передачи ПД третьим лицам, у работников придется получать согласиеп. 1 ч. 1, ч. 3 ст. 6, ст. 7, ч. 3 ст. 9 Закона № 152-ФЗ; ст. 88 ТК РФ. К примеру, при передаче:

• сведений о должности и размере зарплаты работника банку, запрошенных им в связи обращением этого работника за получением кредита;
• копий дипломов работников лицензирующему органу для получения лицензии;
• ПД работников сторонней организации, оказывающей услуги по ведению бухучета.

Что должно содержать согласие, покажем на примереч. 4 ст. 9 Закона № 152-ФЗ.

Уведомление об обработке персональных данных

До начала обработки ПД операторы должны направлять в органы Роскомнадзора специальное уведомлениеч. 1 ст. 22 Закона № 152-ФЗ; приложение к Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утв. Приказом Роскомнадзора от 19.08.2011 № 706.

Однако работодатели от такой обязанности освобожденыпп. 1, 2 ч. 2 ст. 22 Закона № 152-ФЗ. При этом то, каким способом вы обрабатываете ПД работников (вручную, на компьютере или смешанно), не важно. И пусть вас не смущают положения Закона о ПД, предписывающие уведомлять органы Роскомнадзора об обработке ПД с использованием средств автоматизации. Они действуют, только если вы обрабатываете ПД еще и иных граждан. Это нам подтвердили и в Роструде.

Из авторитетных источников

ШКЛОВЕЦ Иван Иванович

Заместитель руководителя Федеральной службы по труду и занятости

“Организации, являющиеся работодателями, а также заказчиками работ, выполняемых физическими лицами по договорам подряда, обрабатывают персональные данные этих лиц и признаются операторами персональных данных.

Оператор до начала обработки персональных данных обязан уведомить орган Роскомнадзора о своем намерении осуществлять обработку персональных данныхч. 1 ст. 22 Закона № 152-ФЗ, за исключением некоторых случаевч. 2 ст. 22 Закона № 152-ФЗ. К таким случаям, в частности, относятся персональные данные, обрабатываемые в соответствии с трудовым законодательством.

Таким образом, организация, обрабатывающая персональные данные своих работников в соответствии с трудовым законодательством, не должна уведомлять уполномоченный орган об обработке персональных данных вне зависимости от того, каким способом они обрабатываются”.

Совет

Если вам пришел запрос из органа Роскомнадзора с просьбой представить уведомление об обработке ПД, то в течение 30 дней со дня его получения вы должны направить:

• <если>вы обрабатываете ПД работников не только в рамках трудовых отношений (например, передаете ПД страховой компании для заключения договора ДМС) — уведомление об обработке ПД. Кстати, в этом случае уведомление следует подать, не дожидаясь запроса. Сделать это нужно до начала такой обработки, а если вы обрабатывали так ПД до 1 июля 2011 г. – не позднее 1 января 2013 г.ч. 1 ст. 22, ч. 2.1 ст. 25 Закона № 152-ФЗ;
• <если>вы обрабатываете лишь ПД работников в соответствии с трудовым законодательством — письмо о том, что вы можете обрабатывать ПД без уведомления на основании п. 1 ч. 2 ст. 22 Закона № 152-ФЗч. 4 ст. 20 Закона № 152-ФЗ.

Иначе орган Роскомнадзора может попытаться оштрафовать вас за непредставление ему этой информациист. 19.7 КоАП РФ; Постановление Верховного суда РФ от 05.08.2011 № 20-АД11-3; Постановление ФАС ЦО от 11.08.2011 № А64-6408/2010.

Договор на обработку персональных данных третьим лицом

Когда вы поручаете обработку ПД работников другому лицу (например, передаете функции ведения бухгалтерского и налогового учета сторонней организации), то в договоре с этим лицом нужно предусмотретьч. 3 ст. 6 Закона № 152-ФЗ:

• перечень его действий с ПД;
• цели обработки им ПД;
• его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность их обработки;
• требования к защите им ПД.

Например, можно включить в договор такой раздел.

Документы по обеспечению доступа к персональным данным

Доступ к ПД работников должны иметь только специально уполномоченные лицаст. 88 ТК РФ. Поэтому перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться ПД, следует утвердить приказомп. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687; п. 14 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 17.11.2007 № 781.

В этот перечень войдут, например, руководитель, его заместители, работники отдела кадров, бухгалтерии, службы безопасности, юрист и даже секретарь, ведь часто именно он бронирует гостиницу и покупает билеты для работников, направляемых в командировку.

Допуск к ПД иных работников следует фиксировать в журнале либо оформлять письменные разрешения руководителя.

Кроме того, с работников, имеющих доступ к ПД, следует взять расписку о неразглашениист. 90 ТК РФ; п. 43 Постановления Пленума Верховного суда РФ от 17.03.2004 № 2. А можно прописать такую обязанность и в трудовом договоре.

Документы по защите персональных данных в информационных системах

Если у вас есть информационные системы персональных данных (к примеру, программа 1С или любая другая программа, содержащая ПД, даже таблицы в Excel), то вам нужно иметь целый пакет документов по защите обрабатываемых в ней ПДп. 3 ч. 1 ст. 18.1, ч. 2 ст. 19 Закона № 152-ФЗ. Подробно рассматривать эту документацию мы не будем. Ведь составлять ее — это работа не бухгалтера, а, скорее, системного администратора или даже стороннего специалиста.

***

Как видите, требований к обработке ПД уйма. Поэтому без Положения о ПД, в котором компактно собрано все самое необходимое для работы с такими данными, просто не обойтись. Ведь из него будет видно, какие ПД нужно собрать с работников, как их обрабатывать и защищать (например, хранить документы с ПД в сейфе, установить на компьютеры пароли, шифровать электронные сообщения и документы с ПД, отсылаемые третьим лицам).

И не забывайте, что операторы обработки ПД — это не только работодатели. Поэтому законодательство о защите ПД нужно соблюдать при обработке ПД не только работников, но и иных категорий физлиц. Например, если вы заключаете с гражданами какие-либо гражданско-правовые договоры, ведете в компьютере базу данных клиентов-физлиц или контактных лиц ваших контрагентов с указанием их ф. и. о., должности, номера телефона, даты рождения.

При этом самое важное — не разглашать ПД третьим лицам. Так будет меньше жалоб и, соответственно, проверок. Ведь по своей инициативе органы Роскомнадзора проверяют в основном только крупные компании, работающие с населением: банки, операторов связи, коммунальщиков, почту, медицинские клиники и др.