Как организовать работу с персональными данными сотрудников

Ознакомьте работника с Положением о работе с персональными данными

Положение о работе с персональными данными (Положение) — это локальный нормативный акт, который обязательно должен быть в организациист. 87 ТК РФ; п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ). В нем подробно прописываются правила обработки, хранения и использования организацией персональных данных (ПД) работников компании. Если в организации не будет принято такое Положение, ее и генерального директора могут привлечь к административной ответственностист. 5.27 КоАП РФ.

Универсальной формы этого документа нет, поэтому каждая организация должна самостоятельно разработать и утвердить его. Обычно Положение состоит из следующих разделов.

Общие положения. В этом разделе нужно прописать цели принятия Положения, например: «Определить порядок обращения с персональными данными работников». Также нужно перечислить, что относится к таким данным. Нужные формулировки можно взять из ст. 3 Закона № 152-ФЗ.

Основные понятия. Все понятия можно взять также из ст. 3 Закона № 152-ФЗ.

Состав персональных данных. В этом разделе необходимо перечислить, какие документы содержат персональные данные работников. Например, это:

•документы, необходимые для заключения трудового договора;

•оригиналы и копии приказов и распоряжений;

•личные дела и трудовые книжки;

•налоговая, статистическая и иная отчетность.

Обработка персональных данных. Под обработкой персональных данных подразумеваются действия с ними, в том числе их сбор, накопление, систематизация, хранение, использованиеп. 3 ст. 3 Закона № 152-ФЗ, удаление и уничтожение. В этом разделе нужно назвать условия, которые должны соблюдаться при обработке персональных данных. Их можно переписать из ст. 6 Закона № 152-ФЗ.

Передача персональных данных. В этом разделе укажите, по каким правилам вы передаете персональные данные работников внутри организации и третьим лицам, а также получаете сведения от этих лиц. Тут же нужно указать, где и как хранятся персональные данные. Чаще всего они хранятся и обрабатываются в отделе кадров и бухгалтерии в бумажном или электронном виде.

Доступ к персональным данным. В этом разделе нужно указать, кто из сотрудников имеет доступ к персональным данным. Обычно это руководитель организации, сотрудники бухгалтерии и отдела кадров, начальник структурного подразделения, где работает человек, чьи персональные данные обрабатываются.

Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных. В этом разделе нужно указать, что работники компании, нарушившие правила Положения, несут дисциплинарную, материальную, административную, гражданско-правовую и уголовную ответственностьст. 90 ТК РФ.

Ознакомьте всех работников (в том числе и тех, кого только принимаете на работу) с Положениемч. 2 ст. 22, ст. 68 ТК РФ. Подтверждением того, что работник с ним ознакомился, будет его подпись:

•или в трудовом договоре, если в нем есть ссылка на Положение;

•или в листе ознакомления с Положением;

•или в журнале ознакомления с локальными актами.

Получите согласие работника на обработку персональных данных

Согласие на обработку ПД нужно получить, когда организации требуется информация о работнике, помимо той, которая необходима, чтобы заключить и исполнить трудовой договор. Так, не требуется согласие на обработку персональных данных работника или соискателя, если они полученып. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона № 152-ФЗ; абз. 1 Разъяснений Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (далее — Разъяснения):

•из документов, предъявляемых при заключении трудового договора (паспорт, трудовая книжка, свидетельство пенсионного страхования, документы воинского учета, документы об образовании);

•по результатам обязательного предварительного медицинского осмотра, удостоверяющего состояние здоровьяст. 69 ТК РФ; п. 3 Разъяснений;

•от кадрового агентства, действующего от имени соискателяабз. 12 п. 5 Разъяснений;

•из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лицп. 10 ч. 1 ст. 6 Закона № 152-ФЗ; абз. 12 п. 5 Разъяснений;

•при обработке персональных данных близких родственников в объеме, предусмотренном унифицированной формой № Т-2утв. Постановлением Госкомстата от 05.01.2004 № 1, либо в случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат)п. 2 Разъяснений.

Но потребуется письменное согласие:

•для получения ПД работника у третьей сторонып. 3 ст. 86 ТК РФ;

•для передачи ПД работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях, например для целей исполнительного производства, персонифицированного учета или расследования преступленийабз. 2 ст. 88 ТК РФ; п. 4 ч. 1 ст. 13 Закона от 07.02.2011 № 3-ФЗ; п. 2 ч. 1 ст. 64 Закона от 02.10.2007 № 229-ФЗ; ст. 9 Закона от 01.04.96 № 27-ФЗ;

•для обработки специальных категорий ПД работника. К таким данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизнип. 4 ст. 86 ТК РФ; п. 1 ч. 2 ст. 10 Закона № 152-ФЗ.

А в принципе, имеет смысл всегда оформлять письменное согласие на обработку ПД, поскольку при возникновении спора именно работодатель должен доказать получение согласия работника на обработку его персональных данныхч. 3 ст. 9 Закона № 152-ФЗ.

Как оформить согласие на обработку персональных данных

Согласие работника на обработку персональных данных должно быть «конкретным, информированным и сознательным». Согласие, содержащее, например, формулировку «Согласен, чтобы компания обрабатывала все мои персональные данные до окончания трудового договора», таким требованиям соответствовать не будет. А это значит, что согласие вы не получили.

Согласие должно быть оформлено на конкретные действия с персональными данными. Правда, это не значит, что на каждую операцию с ПД нужно получать отдельный документ. В одном согласии можно предусмотреть сразу несколько действий с персональными даннымич. 1 ст. 9 Закона № 152-ФЗ.

Согласие должно содержать обязательные сведения. Если их не будет, организацию могут оштрафовать на сумму от 15 000 до 75 000 руб., а генерального директора — от 10 000 до 20 000 руб.ч. 2 ст. 13.11 КоАП РФ

В согласии на обработку ПД обязательно укажитеч. 4 ст. 9 Закона № 152-ФЗ:

•ф. и. о., адрес работника;

•реквизиты паспорта или иного документа, удостоверяющего его личность, в том числе сведения о дате выдачи документа и выдавшем его органе;

•наименование и адрес вашей компании;

•цель обработки персональных данных;

•перечень персональных данных, на обработку которых дает согласие работник;

•перечень действий с персональными данными, на совершение которых работник дает согласие;

•способы обработки персональных данных, которые вы используете.

Как передать ПД работника третьему лицу

Работодатель не вправе передавать третьим лицам ПД работника без его согласияч. 1 ст. 88 ТК РФ; ст. 7 Закона № 152-ФЗ. Исключением являются ситуации, когда необходимо предупредить угрозу жизни и здоровью работника, а также в иных, прямо предусмотренных законом случаяхст. 88 ТК РФ. Например, не требуется согласие, чтобы обрабатывать ПД для целей налогового и бухгалтерского учета, воинского учета или в рамках персонифицированного учета для целей пенсионного страхованияпп. 2—11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ; абз. 6—10 п. 5 Разъяснений; ст. 9 Закона от 01.04.96 № 27-ФЗ; ст. 4 Закона от 28.03.98 № 53-ФЗ. Если же работник подал заявку на кредит или получение иностранной визы, подтвердить банку или визовому центру информацию о должности и о заработной плате работника вы можете только при наличии его письменного согласия.

Но передать в банк персональные данные работника для выплаты заработной платы в определенных случаях можно и без его разрешения. Это возможно, когдаабз. 11 п. 4 Разъяснений:

•или договор на выпуск банковской карты был заключен банком напрямую с работником и в тексте есть положения, которые предусматривают передачу его данных;

•или у работодателя есть доверенность и он вправе представлять интересы работника при заключении договора с банком;

•или форма и система оплаты труда прописаны в коллективном договоре.

Из согласия работника должно четко следовать, кому будут переданы его персональные данные и с какой целью. Кроме того, необходимо предупредить лицо, получающее ПД работника, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и потребовать от него подтверждение того, что это правило соблюденоч. 1 ст. 88 ТК РФ.

Как отозвать согласие на обработку ПД

Сотрудник вправе отозвать свое согласие на обработку персональных данных в любое времяч. 2 ст. 9 Закона № 152-ФЗ. Для этого он должен направить письменное заявление.

Однако, даже если работник отозвал свое согласие, организация вправе продолжать обрабатывать его персональные данные в установленных законом случаях. Например, для исполнения судебного акта, для налогового учета и отчетности, для исполнения трудового договорач. 2 ст. 9 Закона № 152-ФЗ.

Как получить персональные данные работника у третьей стороны

Если вы получаете персональные данные у третьей стороны, заранее уведомьте об этом работникап. 3 ст. 86 ТК РФ; п. 1 ч. 2 ст. 10 Закона № 152-ФЗ. В уведомлении сообщите сотруднику о целях, предполагаемых источниках и способах получения или передачи персональных данных. Также укажите характер персональных данных, которые предстоит получить.

* * *

В организации должен быть установлен конкретный перечень работников, которым разрешен доступ к персональным данным. Для этого подготовьте отдельный приказ, в котором укажите, какие именно ПД тот или иной специалист может использовать в своей работе. Также с этих работников нужно взять обязательство о неразглашении ПДч. 6 ст. 88 ТК РФ. Помимо этого, назначьте ответственного за работу с персональными данными. Он обязан знать положения законодательства, касающиеся персональных данных, и анализировать поступающую документациюст. 22.1 Закона № 152-ФЗ.