Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 12 декабря 2011 г.
Оформляем документы для защиты личных данных работников
С июля этого года Закон о персональных данныхФедеральный закон от 27.07.2006
Положение о персональных данных
Любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты ПД работниковп. 2 ч. 1 ст. 18.1 Закона
Вот что должно содержаться в Положении о ПД:
- перечень обрабатываемых ПДп. 2 ст. 3 Закона
№ 152-ФЗ . То есть всех тех ПД работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.; - цели обработки ПДп. 2 ст. 3, ч. 2 ст. 5 Закона
№ 152-ФЗ . Их можно переписать из Трудового кодексап. 1 ст. 86 ТК РФ; - перечень действий с ПДп. 2 ст. 3 Закона
№ 152-ФЗ . Они перечислены в определении понятия «обработка персональных данных». Например, это сбор ПД, их накопление, уточнение, хранение, удаление и т. п.п. 3 ст. 3 Закона№ 152-ФЗ В принципе, работодатели могут предпринимать все из указанных в этом определении действий;
- права и обязанности работников в сфере обработки ПДп. 8 ст. 86 ТК РФ. Их тоже можно переписать из Закона о ПД и Трудового кодексаст. 14 Закона
№ 152-ФЗ ; ст. 89 ТК РФ. К примеру, работники имеют право получать доступ к своим ПД и информацию об их обработкеч. 1 ст. 14, ч. 1 ст. 18, ч. 1 ст. 20 Закона№ 152-ФЗ ; - порядок обработки ПД, в том числе хранения, использования и передачип. 8 ст. 86, статьи 87, 88 ТК РФ. Здесь нужно указать:
— общие требования к обработке ПДстатьи 5—7, ст. 9 Закона
— состав и перечень ваших мер по обеспечению защиты ПДст. 18.1, ст. 19 Закона
- ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственностьст. 90 ТК РФ; ч. 1 ст. 24 Закона
№ 152-ФЗ .
Совет
Если у вас уже есть Положение и оно составлялось в соответствии с прежней редакцией Закона о ПД, то Положение нужно доработать с учетом последних поправок.
Приказ о назначении ответственного лица
Работодатели (только организации) теперь должны назначать лицо, ответственное за организацию обработки ПДч. 1 ст. 22.1 Закона
К уровню квалификации ответственного лица никаких требований нет. Поэтому это может быть любой ваш работник.
Для назначения ответственного работника издайте об этом приказ. Например, такой.
Общество с ограниченной ответственностью «Стройцентр»
ПРИКАЗ № 25-к
г. Москва
01.07.2011
Во исполнение положений п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006
ПРИКАЗЫВАЮ:
1. Назначить главного бухгалтера Гарипову Г.А. с 04.07.2011 ответственной за организацию обработки персональных данных.
2. Внести изменения в должностную инструкцию Гариповой Г.А. в связи с новым назначением.
3. Установить Гариповой Г.А. ежемесячную доплату на время исполнения функций ответственного за организацию обработки персональных данных в размере 10% от должностного оклада.
![]() | С.В. Соколов |
С приказом ознакомлена, об ответственности за нарушение порядка обработки и защиты персональных данных работников, в том числе за их разглашение, предупреждена.
![]() | Г.А. Гарипова |
Согласие работника на обработку персональных данных
Для обработки ПД работников лишь в целях исполнения трудового договора получать у них согласие не нужноп. 5 ч. 1 ст. 6 Закона
Также согласия не требуется и в случаях:
- сбора ПД у соискателей, так как это делается в целях заключения трудового договора по их инициативеп. 5 ч. 1 ст. 6 Закона
№ 152-ФЗ ; - сдачи персонифицированной отчетности в органы ПФР, отчетности по НДФЛ в ИФНС, хранения документов с ПД в течение установленных сроков и в других подобных ситуациях, когда работодатель исполняет возложенные на него законодательством обязанностип. 2 ч. 1 ст. 6 Закона
№ 152-ФЗ ; - передачи ПД работников страховой компании в целях заключения договора на их добровольное медицинское страхование (ДМС) либо передачи ПД иным лицам для заключения иных договоров, по которым работник будет являться выгодоприобретателемп. 5 ч. 1 ст. 6 Закона
№ 152-ФЗ ; - обработки общедоступных ПД работниковп. 10 ч. 1 ст. 6 Закона
№ 152-ФЗ . Например, тех ПД работника, по которым он дал письменное согласие на их общедоступность.
В остальных случаях обработки ПД работников, в том числе передачи ПД третьим лицам, у работников придется получать согласиеп. 1 ч. 1, ч. 3 ст. 6, ст. 7, ч. 3 ст. 9 Закона
- сведений о должности и размере зарплаты работника банку, запрошенных им в связи обращением этого работника за получением кредита;
- копий дипломов работников лицензирующему органу для получения лицензии;
- ПД работников сторонней организации, оказывающей услуги по ведению бухучета.
Что должно содержать согласие, покажем на примереч. 4 ст. 9 Закона
СОГЛАСИЕ
на обработку персональных данных
Я, Иванов Иван Иванович, паспорт серии 77 08 № 123456, выдан ОВД Лефортово г. Москвы 15.08.2005, зарегистрированный по адресу: г. Москва, Рязанский проспект, д. 20, кв. 96, даю согласие ООО «Стройцентр» (г. Москва, ул. Большая Пироговская, д. 53, корп. 1) на передачу всех моих персональных данных, обрабатываемых им в целях исполнения заключенного между нами трудового договора и выполнения возложенных на него законодательством обязанностей, в ООО «Нивал» (г. Москва, ул. Профсоюзная, д. 34, корп. 2) в целях их любой обработки в рамках договора оказания услуг по ведению бухгалтерского учета
Настоящее согласие действует в течение всего срока действия трудового договора и может быть мною отозвано в письменном виде.
![]() |
Уведомление об обработке персональных данных
До начала обработки ПД операторы должны направлять в органы Роскомнадзора специальное уведомлениеч. 1 ст. 22 Закона
Однако работодатели от такой обязанности освобожденыпп. 1, 2 ч. 2 ст. 22 Закона
Из авторитетных источников

“Организации, являющиеся работодателями, а также заказчиками работ, выполняемых физическими лицами по договорам подряда, обрабатывают персональные данные этих лиц и признаются операторами персональных данных.
Оператор до начала обработки персональных данных обязан уведомить орган Роскомнадзора о своем намерении осуществлять обработку персональных данныхч. 1 ст. 22 Закона
№ 152-ФЗ , за исключением некоторых случаевч. 2 ст. 22 Закона№ 152-ФЗ . К таким случаям, в частности, относятся персональные данные, обрабатываемые в соответствии с трудовым законодательством.Таким образом, организация, обрабатывающая персональные данные своих работников в соответствии с трудовым законодательством, не должна уведомлять уполномоченный орган об обработке персональных данных вне зависимости от того, каким способом они обрабатываются”.
Совет
Если вам пришел запрос из органа Роскомнадзора с просьбой представить уведомление об обработке ПД, то в течение 30 дней со дня его получения вы должны направить:
- <если>вы обрабатываете ПД работников не только в рамках трудовых отношений (например, передаете ПД страховой компании для заключения договора ДМС) — уведомление об обработке ПД. Кстати, в этом случае уведомление следует подать, не дожидаясь запроса. Сделать это нужно до начала такой обработки, а если вы обрабатывали так ПД до 1 июля 2011 г. – не позднее 1 января 2013 г.ч. 1 ст. 22, ч. 2.1 ст. 25 Закона
№ 152-ФЗ ; - <если>вы обрабатываете лишь ПД работников в соответствии с трудовым законодательством — письмо о том, что вы можете обрабатывать ПД без уведомления на основании п. 1 ч. 2 ст. 22 Закона
№ 152-ФЗч. 4 ст. 20 Закона № 152-ФЗ.
Иначе орган Роскомнадзора может попытаться оштрафовать вас за непредставление ему этой информациист. 19.7 КоАП РФ; Постановление Верховного суда РФ от 05.08.2011 № 20-АД11-3; Постановление ФАС ЦО от 11.08.2011 № А64-6408/2010.
Договор на обработку персональных данных третьим лицом
Когда вы поручаете обработку ПД работников другому лицу (например, передаете функции ведения бухгалтерского и налогового учета сторонней организации), то в договоре с этим лицом нужно предусмотретьч. 3 ст. 6 Закона
- перечень его действий с ПД;
- цели обработки им ПД;
- его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность их обработки;
- требования к защите им ПД.
Например, можно включить в договор такой раздел.
ДОГОВОР
оказания услуг по ведению бухгалтерского учета
г. Москва
3 марта 2011 г.
...
8. Условия обработки Исполнителем персональных данных работников Заказчика.
8.1. Исполнитель по поручению Заказчика в целях расчета заработной платы, пособий и иных выплат, а также составления и сдачи отчетности в органы ФНС России и внебюджетные фонды совершает все необходимые действия по обработке персональных данных работников Заказчика.
8.2. Исполнитель обязуется соблюдать конфиденциальность полученных при исполнении настоящего договора персональных данных и обеспечивать их безопасность при обработке, принимая все необходимые меры в соответствии с требованиями действующего законодательства.
8.3. По окончании действия настоящего договора Исполнитель обязуется прекратить обработку персональных данных работников Заказчика, передав ему всю подготовленную во исполнение договора документацию, содержащую такие данные, и удалив их из своих электронных баз данных.
Документы по обеспечению доступа к персональным данным
Доступ к ПД работников должны иметь только специально уполномоченные лицаст. 88 ТК РФ. Поэтому перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться ПД, следует утвердить приказомп. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687; п. 14 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 17.11.2007 № 781.
В этот перечень войдут, например, руководитель, его заместители, работники отдела кадров, бухгалтерии, службы безопасности, юрист и даже секретарь, ведь часто именно он бронирует гостиницу и покупает билеты для работников, направляемых в командировку.
Допуск к ПД иных работников следует фиксировать в журнале либо оформлять письменные разрешения руководителя.
Кроме того, с работников, имеющих доступ к ПД, следует взять расписку о неразглашениист. 90 ТК РФ; п. 43 Постановления Пленума Верховного суда РФ от 17.03.2004 № 2. А можно прописать такую обязанность и в трудовом договоре.
Трудовой договор № 25
г. Москва
27 октября 2011 г.
...
3. Обязанности Работника.
3.1. Работник обязуется соблюдать конфиденциальность в отношении любых персональных данных, доступ к которым он получит при исполнении своих трудовых обязанностей, как в период действия настоящего договора, так и по его прекращении.
Документы по защите персональных данных в информационных системах
Если у вас есть информационные системы персональных данных (к примеру, программа 1С или любая другая программа, содержащая ПД, даже таблицы в
***
Как видите, требований к обработке ПД уйма. Поэтому без Положения о ПД, в котором компактно собрано все самое необходимое для работы с такими данными, просто не обойтись. Ведь из него будет видно, какие ПД нужно собрать с работников, как их обрабатывать и защищать (например, хранить документы с ПД в сейфе, установить на компьютеры пароли, шифровать электронные сообщения и документы с ПД, отсылаемые третьим лицам).
И не забывайте, что операторы обработки ПД — это не только работодатели. Поэтому законодательство о защите ПД нужно соблюдать при обработке ПД не только работников, но и иных категорий физлиц. Например, если вы заключаете с гражданами какие-либо гражданско-правовые договоры, ведете в компьютере базу данных клиентов-физлиц или контактных лиц ваших контрагентов с указанием их ф. и. о., должности, номера телефона, даты рождения.
При этом самое важное — не разглашать ПД третьим лицам. Так будет меньше жалоб и, соответственно, проверок. Ведь по своей инициативе органы Роскомнадзора проверяют в основном только крупные компании, работающие с населением: банки, операторов связи, коммунальщиков, почту, медицинские клиники и др.