Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 19 декабря 2011 г.
Оформляем документы для защиты личных данных работников
С июля этого года Закон о персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)) действует в новой редакции (ст. 3 Федерального закона от 25.07.2011 № 261-ФЗ). Многие поправки затронули обязанности операторов по обработке персональных данных, коими, напомним, являются все компании и предприниматели, если у них есть работники (п. 2 ст. 3 Закона № 152-ФЗ). Поэтому далее о таких обязанностях и поговорим. В частности, о том, как в свете последних поправок работодатели должны оформлять основные документы в сфере защиты персональных данных (ПД) своих работников. Ведь решение этого вопроса руководитель часто вешает на главного бухгалтера, считая его универсальным специалистом.
Положение о персональных данных
Любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты ПД работников (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ; п. 8 ст. 86, статьи 87, 88 ТК РФ). Удобнее это сделать в одном локальном нормативном акте, который должен быть утвержден приказом и может именоваться как угодно, чаще всего — Положением о персональных данных.
Внимание
С Положением о ПД и изменениями к нему (если они вносились) нужно под роспись ознакомить всех работников (ч. 1 ст. 18 Закона № 152-ФЗ; п. 8 ст. 86, ст. 88 ТК РФ).
Вот что должно содержаться в Положении о ПД:
- перечень обрабатываемых ПД (п. 2 ст. 3 Закона № 152-ФЗ). То есть всех тех ПД работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.;
- цели обработки ПД (п. 2 ст. 3, ч. 2 ст. 5 Закона № 152-ФЗ). Их можно переписать из Трудового кодекса (п. 1 ст. 86 ТК РФ);
- перечень действий с ПД (п. 2 ст. 3 Закона № 152-ФЗ). Они перечислены в определении понятия «обработка персональных данных». Например, это сбор ПД, их накопление, уточнение, хранение, удаление и т. п. (п. 3 ст. 3 Закона № 152-ФЗ) В принципе, работодатели могут предпринимать все из указанных в этом определении действий;
Рассказываем руководителю
За нарушение порядка обработки ПД предусмотрена административная ответственность (ст. 13.11 КоАП РФ). Привлекают к ней судьи на основании проверочных материалов органов Роскомнадзора (Решение Приморского краевого суда от 04.07.2011 № 7-12-228/11). Но органы Роскомнадзора по результатам проверок предпочитают выносить предписание об устранении выявленных нарушений (п. 82 Административного регламента проведения проверок... утв. Приказом Роскомнадзора от 01.12.2009 № 630; Постановления ФАС МО от 08.09.2011 № А40-129858/10-147-805; ФАС ВСО от 12.05.2011 № А33-10809/2010, от 05.04.2011 № А19-25289/09, Четвертого ААС от 04.10.2010 № А58-3498/2010). Если эти нарушения своевременно устранить, то опасаться штрафов (ст. 19.5 КоАП РФ) не стоит. Кроме того, за несоблюдение порядка обработки ПД (как за нарушение трудового законодательства (ч. 1 ст. 5.27 КоАП РФ)) пытаются штрафовать трудинспекции, но суды с ними не соглашаются (Постановление Девятого ААС от 14.06.2006 № 09АП-4259/2006-АК).
- права и обязанности работников в сфере обработки ПД (п. 8 ст. 86 ТК РФ). Их тоже можно переписать из Закона о ПД и Трудового кодекса (ст. 14 Закона № 152-ФЗ; ст. 89 ТК РФ). К примеру, работники имеют право получать доступ к своим ПД и информацию об их обработке (ч. 1 ст. 14, ч. 1 ст. 18, ч. 1 ст. 20 Закона № 152-ФЗ);
- порядок обработки ПД, в том числе хранения, использования и передачи (п. 8 ст. 86, статьи 87, 88 ТК РФ). Здесь нужно указать:
— общие требования к обработке ПД (статьи 5—7, ст. 9 Закона № 152-ФЗ; ст. 86, ст. 88 ТК РФ). В частности, все ПД работника нужно получать у него самого (п. 3 ст. 86 ТК РФ), обрабатывать их можно лишь в соответствии с целями их сбора (ч. 4 ст. 5 Закона № 152-ФЗ; п. 1 ст. 86 ТК РФ), нельзя сообщать их третьим лицам без согласия работника (ст. 7 Закона № 152-ФЗ; ст. 88 ТК РФ). Работодатель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки ПД (п. 8 ст. 86 ТК РФ), разрешать доступ к ПД только уполномоченным работникам (ст. 88 ТК РФ);
— состав и перечень ваших мер по обеспечению защиты ПД (ст. 18.1, ст. 19 Закона № 152-ФЗ). Например, перечислите, где хранятся ПД, кто из работников имеет доступ к ним без дополнительного разрешения, как оформляется допуск к ПД иным работникам, какие используются средства защиты информации в компьютерах и т. п.;
- ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственность (ст. 90 ТК РФ; ч. 1 ст. 24 Закона № 152-ФЗ).
Совет
Если у вас уже есть Положение и оно составлялось в соответствии с прежней редакцией Закона о ПД, то Положение нужно доработать с учетом последних поправок.
Приказ о назначении ответственного лица
Работодатели (только организации) теперь должны назначать лицо, ответственное за организацию обработки ПД (ч. 1 ст. 22.1 Закона № 152-ФЗ).
К уровню квалификации ответственного лица никаких требований нет. Поэтому это может быть любой ваш работник.
Для назначения ответственного работника издайте об этом приказ. Например, такой.
Общество с ограниченной ответственностью «Стройцентр»
ПРИКАЗ № 25-к
г. Москва
01.07.2011
Во исполнение положений п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
1. Назначить главного бухгалтера Гарипову Г.А. с 04.07.2011 ответственной за организацию обработки персональных данных.
2. Внести изменения в должностную инструкцию Гариповой Г.А. в связи с новым назначением.
3. Установить Гариповой Г.А. ежемесячную доплату на время исполнения функций ответственного за организацию обработки персональных данных в размере 10% от должностного оклада.
Генеральный директор ООО «Стройцентр» | С.В. Соколов |
С приказом ознакомлена, об ответственности за нарушение порядка обработки и защиты персональных данных работников, в том числе за их разглашение, предупреждена.
« 01 » июля 2011 г. | Г.А. Гарипова |
Согласие работника на обработку персональных данных
Для обработки ПД работников лишь в целях исполнения трудового договора получать у них согласие не нужно (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ). Например, не понадобится согласие работника на указание его ПД в кадровой документации, на передачу ПД между структурными подразделениями работодателя, при оформлении на него доверенности на представительство.
Предупреждаем руководителя
Работники, считающие, что их ПД обрабатываются с нарушениями, могут пожаловаться в органы Роскомнадзора. Последние обязаны рассмотреть обращение и провести внеплановую проверку (ч. 2 ст. 23, пп. 1, 2 ч. 5 ст. 23 Закона № 152-ФЗ; пп. 27.4, 27.5 Административного регламента проведения проверок... утв. Приказом Роскомнадзора от 01.12.2009 № 630). Поэтому во избежание лишней нервотрепки лучше все же иметь основные документы по обработке и защите ПД.
Также согласия не требуется и в случаях:
- сбора ПД у соискателей, так как это делается в целях заключения трудового договора по их инициативе (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ);
- сдачи персонифицированной отчетности в органы ПФР, отчетности по НДФЛ в ИФНС, хранения документов с ПД в течение установленных сроков и в других подобных ситуациях, когда работодатель исполняет возложенные на него законодательством обязанности (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ);
- передачи ПД работников страховой компании в целях заключения договора на их добровольное медицинское страхование (ДМС) либо передачи ПД иным лицам для заключения иных договоров, по которым работник будет являться выгодоприобретателем (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ);
- обработки общедоступных ПД работников (п. 10 ч. 1 ст. 6 Закона № 152-ФЗ). Например, тех ПД работника, по которым он дал письменное согласие на их общедоступность.
В остальных случаях обработки ПД работников, в том числе передачи ПД третьим лицам, у работников придется получать согласие (п. 1 ч. 1, ч. 3 ст. 6, ст. 7, ч. 3 ст. 9 Закона № 152-ФЗ; ст. 88 ТК РФ). К примеру, при передаче:
- сведений о должности и размере зарплаты работника банку, запрошенных им в связи обращением этого работника за получением кредита;
- копий дипломов работников лицензирующему органу для получения лицензии;
- ПД работников сторонней организации, оказывающей услуги по ведению бухучета.
Что должно содержать согласие, покажем на примере (ч. 4 ст. 9 Закона № 152-ФЗ).
СОГЛАСИЕ
на обработку персональных данных
Я, Иванов Иван Иванович, паспорт серии 77 08 № 123456, выдан ОВД Лефортово г. Москвы 15.08.2005, зарегистрированный по адресу: г. Москва, Рязанский проспект, д. 20, кв. 96, даю согласие ООО «Стройцентр» (г. Москва, ул. Большая Пироговская, д. 53, корп. 1) на передачу всех моих персональных данных, обрабатываемых им в целях исполнения заключенного между нами трудового договора и выполнения возложенных на него законодательством обязанностей, в ООО «Нивал» (г. Москва, ул. Профсоюзная, д. 34, корп. 2) в целях их любой обработки в рамках договора оказания услуг по ведению бухгалтерского учета б/н от 03.03.2011.
Настоящее согласие действует в течение всего срока действия трудового договора и может быть мною отозвано в письменном виде.
« 22 » августа 2011 г. |
Уведомление об обработке персональных данных
До начала обработки ПД операторы должны направлять в органы Роскомнадзора специальное уведомление (ч. 1 ст. 22 Закона № 152-ФЗ; приложение к Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утв. Приказом Роскомнадзора от 19.08.2011 № 706).
Однако работодатели от такой обязанности освобождены (пп. 1, 2 ч. 2 ст. 22 Закона № 152-ФЗ). При этом то, каким способом вы обрабатываете ПД работников (вручную, на компьютере или смешанно), не важно. И пусть вас не смущают положения Закона о ПД, предписывающие уведомлять органы Роскомнадзора об обработке ПД с использованием средств автоматизации. Они действуют, только если вы обрабатываете ПД еще и иных граждан. Это нам подтвердили и в Роструде.
Из авторитетных источников
“Организации, являющиеся работодателями, а также заказчиками работ, выполняемых физическими лицами по договорам подряда, обрабатывают персональные данные этих лиц и признаются операторами персональных данных.
Оператор до начала обработки персональных данных обязан уведомить орган Роскомнадзора о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ), за исключением некоторых случаев (ч. 2 ст. 22 Закона № 152-ФЗ). К таким случаям, в частности, относятся персональные данные, обрабатываемые в соответствии с трудовым законодательством.
Таким образом, организация, обрабатывающая персональные данные своих работников в соответствии с трудовым законодательством, не должна уведомлять уполномоченный орган об обработке персональных данных вне зависимости от того, каким способом они обрабатываются”.
Совет
Если вам пришел запрос из органа Роскомнадзора с просьбой представить уведомление об обработке ПД, то в течение 30 дней со дня его получения вы должны направить:
- <если>вы обрабатываете ПД работников не только в рамках трудовых отношений (например, передаете ПД страховой компании для заключения договора ДМС) — уведомление об обработке ПД. Кстати, в этом случае уведомление следует подать, не дожидаясь запроса. Сделать это нужно до начала такой обработки, а если вы обрабатывали так ПД до 1 июля 2011 г. – не позднее 1 января 2013 г. (ч. 1 ст. 22, ч. 2.1 ст. 25 Закона № 152-ФЗ);
- <если>вы обрабатываете лишь ПД работников в соответствии с трудовым законодательством — письмо о том, что вы можете обрабатывать ПД без уведомления на основании п. 1 ч. 2 ст. 22 Закона № 152-ФЗ (ч. 4 ст. 20 Закона № 152-ФЗ).
Иначе орган Роскомнадзора может попытаться оштрафовать вас за непредставление ему этой информации (ст. 19.7 КоАП РФ; Постановление Верховного суда РФ от 05.08.2011 № 20-АД11-3; Постановление ФАС ЦО от 11.08.2011 № А64-6408/2010).
Договор на обработку персональных данных третьим лицом
Когда вы поручаете обработку ПД работников другому лицу (например, передаете функции ведения бухгалтерского и налогового учета сторонней организации), то в договоре с этим лицом нужно предусмотреть (ч. 3 ст. 6 Закона № 152-ФЗ):
- перечень его действий с ПД;
- цели обработки им ПД;
- его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность их обработки;
- требования к защите им ПД.
Например, можно включить в договор такой раздел.
ДОГОВОР
оказания услуг по ведению бухгалтерского учета
г. Москва
3 марта 2011 г.
...
8. Условия обработки Исполнителем персональных данных работников Заказчика.
8.1. Исполнитель по поручению Заказчика в целях расчета заработной платы, пособий и иных выплат, а также составления и сдачи отчетности в органы ФНС России и внебюджетные фонды совершает все необходимые действия по обработке персональных данных работников Заказчика.
8.2. Исполнитель обязуется соблюдать конфиденциальность полученных при исполнении настоящего договора персональных данных и обеспечивать их безопасность при обработке, принимая все необходимые меры в соответствии с требованиями действующего законодательства.
8.3. По окончании действия настоящего договора Исполнитель обязуется прекратить обработку персональных данных работников Заказчика, передав ему всю подготовленную во исполнение договора документацию, содержащую такие данные, и удалив их из своих электронных баз данных.
Документы по обеспечению доступа к персональным данным
Доступ к ПД работников должны иметь только специально уполномоченные лица (ст. 88 ТК РФ). Поэтому перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться ПД, следует утвердить приказом (п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687; п. 14 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 17.11.2007 № 781).
Предупреждаем работников
За разглашение ПД других работников можно уволить (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).
В этот перечень войдут, например, руководитель, его заместители, работники отдела кадров, бухгалтерии, службы безопасности, юрист и даже секретарь, ведь часто именно он бронирует гостиницу и покупает билеты для работников, направляемых в командировку.
Допуск к ПД иных работников следует фиксировать в журнале либо оформлять письменные разрешения руководителя.
Кроме того, с работников, имеющих доступ к ПД, следует взять расписку о неразглашении (ст. 90 ТК РФ; п. 43 Постановления Пленума Верховного суда РФ от 17.03.2004 № 2). А можно прописать такую обязанность и в трудовом договоре.
Трудовой договор № 25
г. Москва
27 октября 2011 г.
...
3. Обязанности Работника.
3.1. Работник обязуется соблюдать конфиденциальность в отношении любых персональных данных, доступ к которым он получит при исполнении своих трудовых обязанностей, как в период действия настоящего договора, так и по его прекращении.
Документы по защите персональных данных в информационных системах
Если у вас есть информационные системы персональных данных (к примеру, программа 1С или любая другая программа, содержащая ПД, даже таблицы в Excel), то вам нужно иметь целый пакет документов по защите обрабатываемых в ней ПД (п. 3 ч. 1 ст. 18.1, ч. 2 ст. 19 Закона № 152-ФЗ). Подробно рассматривать эту документацию мы не будем. Ведь составлять ее — это работа не бухгалтера, а, скорее, системного администратора или даже стороннего специалиста.
***
Как видите, требований к обработке ПД уйма. Поэтому без Положения о ПД, в котором компактно собрано все самое необходимое для работы с такими данными, просто не обойтись. Ведь из него будет видно, какие ПД нужно собрать с работников, как их обрабатывать и защищать (например, хранить документы с ПД в сейфе, установить на компьютеры пароли, шифровать электронные сообщения и документы с ПД, отсылаемые третьим лицам).
И не забывайте, что операторы обработки ПД — это не только работодатели. Поэтому законодательство о защите ПД нужно соблюдать при обработке ПД не только работников, но и иных категорий физлиц. Например, если вы заключаете с гражданами какие-либо гражданско-правовые договоры, ведете в компьютере базу данных клиентов-физлиц или контактных лиц ваших контрагентов с указанием их ф. и. о., должности, номера телефона, даты рождения.
При этом самое важное — не разглашать ПД третьим лицам. Так будет меньше жалоб и, соответственно, проверок. Ведь по своей инициативе органы Роскомнадзора проверяют в основном только крупные компании, работающие с населением: банки, операторов связи, коммунальщиков, почту, медицинские клиники и др.