Положение об обработке, хранении и защите персональных данных (Т. Шадрина, "Учреждения здравоохранения: бухгалтерский учет и налогообложение", N 11, ноябрь 2013 г.)

Положение об обработке, хранении и защите персональных данных

Определение персональных данных приведено в ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ). Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такая информация требует особого режима защиты, регламентации доступа к ней и ее использования. Поэтому законодатель закрепил не только цели и способы сбора, хранения, использования и обработки персональных данных, права и обязанности работодателя и работника, но и меры защиты информации и ответственность лиц, не исполняющих требования по ее защите.

Общие положения о персональных данных

Работодатели и третьи лица, получающие доступ к персональным данным, должны обеспечивать их конфиденциальность (п. 1 ст. 7 Федерального закона N 152-ФЗ). Режим конфиденциальности персональных данных снимается в случае обезличивания этих данных или по истечении 75-летнего срока их хранения, если иное не определено законом.

Конкретного перечня сведений о работнике, необходимых работодателю, которые не подлежат разглашению, нет, но к ним можно отнести:

- документы, представляемые работником при трудоустройстве (ст. 65 ТК РФ);

- справки о состоянии здоровья, если необходимость их представления предусмотрена законодательством (ст. 69, 213 ТК РФ);

- документы, подтверждающие право работника на определенные гарантии, компенсации и льготы, установленные трудовым законодательством (например, справку об инвалидности, удостоверение почетного донора РФ и др.);

- документы о составе семьи, возрасте ребенка, беременности, представляемые для улучшения условий труда;

- сведения о доходах (для замещения должностей государственной и муниципальной службы);

- сведения о членстве работника в профессиональных союзах.

Следует помнить, что пп. 4 и 5 ч. 1 ст. 86 ТК РФ установлено: работодатель не имеет права получать и обрабатывать сведения о работнике, касающиеся его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, и сведения о его членстве в общественных объединениях или профсоюзной деятельности работника.

В исключительных случаях обработка таких персональных данных все-таки разрешена. Случаи и причины, когда она возможна, установлены ст. 10 Федерального закона N 152-ФЗ. Например, если работник дал согласие в письменной форме на обработку персональных данных или такие данные необходимы для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, а получение согласия работника невозможно, обработка специальных сведений будет правомерной.

Кроме того, обработка работодателем персональных данных работника возможна без согласия последнего в случаях, когда:

- персональные данные являются общедоступными;

- обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;

- обработка персональных данных производится в соответствии с законодательством РФ об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-разыскной деятельности, исполнительном производстве, а также с уголовно-исполнительным законодательством РФ;

- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, страховым законодательством;

- по требованию уполномоченных государственных органов - в случаях, предусмотренных федеральным законом.

В любом случае работодатель обязан не разглашать ставшие известными ему сведения, содержащие персональные данные, третьим лицам без согласия работника. Причем обязанность доказать, что согласие имело место или персональные данные являются общедоступными, лежит на работодателе.

Примечание. Работодатель должен обеспечивать защиту персональных данных от неправомерного использования, утраты в порядке, установленном ТК РФ и иными федеральными законами (п. 7 ч. 1 ст. 86 ТК РФ), за счет своих средств.

Хранение и обработка персональных данных, как правило, осуществляются одновременно с использованием электронной системы хранения и на бумажных носителях. Например, для обеспечения защиты персональных данных при их обработке в информационных системах работодатель должен руководствоваться Постановлением Правительства РФ от 01.11.2012 N 1119, в соответствии с которым возможны три типа угроз, создающих опасность несанкционированного доступа к персональным данным. Тип угрозы, характерный для информационной системы, работодатель определяет самостоятельно и исходя из него применяет один из четырех уровней защиты персональных данных. Приказом ФСТЭК РФ от 18.02.2013 N 21 утверждены состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней их защищенности. Чтобы обеспечить минимальный уровень защиты персональных данных в информационных системах, необходимо:

1) организовать режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в них;

2) обеспечить сохранность носителей персональных данных;

3) утвердить перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники на основании ст. 89 ТК РФ имеют право:

- на получение полной информации о своих персональных данных и их обработке;

- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работников, кроме случаев, предусмотренных п. 8 ст. 14 Федерального закона N 152-ФЗ;

- на определение своих представителей для защиты персональных данных;

- на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по своему выбору;

- на предъявление требования об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работников последние имеют право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Работник имеет право дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

- на предъявление требования об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работников, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- на обжалование в суд любых действий или бездействия работодателя при обработке и защите персональных данных работников.

Все персональные данные работника следует получать у него самого. Многие учреждения при приеме лица на работу требуют от него письменного согласия на обработку его персональных данных, в котором на основании ст. 9 Федерального закона N 152-ФЗ должны быть указаны:

1) фамилия, имя, отчество, адрес работника, номер документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилия, имя, отчество, адрес представителя работника, номер документа, удостоверяющего личность, сведения о дате выдачи такого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя работника);

3) наименование и адрес работодателя;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых работник дает согласие;

6) перечень действий с персональными данными, на совершение которых работник дает согласие, общее описание используемых оператором способов обработки персональных данных;

7) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва;

8) подпись работника.

Но нужно ли такое согласие? На основании ст. 6 Федерального закона N 152-ФЗ согласие работника не требуется в случае, когда обработка информации осуществляется в целях исполнения договора, одной из сторон которого он является. Поскольку основу трудовых отношений составляет договор, следуя этой норме, согласие работника в письменном виде можно и не получать.

А вот если персональные данные работника можно получить только у третьей стороны, то от него должно быть получено вышеназванное письменное согласие. Кроме того, работник должен быть уведомлен о таком запросе заранее: работодатель должен сообщить ему о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (пп. 3 п. 1 ст. 86 ТК РФ).

Требований к местам хранения персональных данных законодательством не предусмотрено. Однако, поскольку работодатель обязан обеспечить их сохранность, во избежание несанкционированного доступа к персональным данным работников помещение, где хранятся такие данные, следует оборудовать запирающимися шкафами для хранения информации на бумажных носителях.

Нужно соблюдать все требования нормативных актов по обработке и защите персональных данных, иначе не удастся избежать ответственности. Во-первых, к дисциплинарной ответственности вплоть до увольнения (пп. "в" п. 6 ст. 81 ТК РФ) можно привлечь лицо, ответственное за получение, обработку и защиту персональных данных работника, в случае передачи им персональных данных лицам, не имеющим к ним доступа. Утрата документов и иных носителей, содержащих персональные данные работника, также может стать поводом для привлечения к дисциплинарной ответственности.

Обратите внимание! Кроме дисциплинарной ответственности, работник, имеющий доступ к персональным данным сотрудников и совершивший дисциплинарный проступок, несет полную материальную ответственность в соответствии с пп. 7 п. 1 ст. 243 ТК РФ.

Уголовным кодексом также предусмотрена ответственность за распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении или СМИ: на основании ст. 137 за эти деяния предусмотрены штраф в размере от 100 000 до 300 000 руб., либо принудительные работы на срок до четырех лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до пяти лет или без такового, либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до пяти лет.

Примечание. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло ее уничтожение, блокирование, модификацию либо копирование, также влечет уголовную ответственность по ст. 272 УК РФ.

Административное законодательство не осталось в стороне и также предусмотрело штрафы от 500 до 10 000 руб.:

- за неправомерный отказ в предоставлении работнику информации, получение которой установлено федеральными законами (ст. 5.39 КоАП РФ);

- за нарушение определенного законом порядка сбора, хранения, использования или распространения информации о гражданах (их персональных данных) (ст. 13.11 КоАП РФ);

- за разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ);

- за нарушение трудового законодательства (ст. 5.27 КоАП РФ) - штраф до 50 000 руб.

За нарушение порядка сбора, хранения, использования или распространения информации сотрудник, имеющий доступ к персональным данным других работников, может нести и гражданско-правовую ответственность. В частности, на основании ст. 152 ГК РФ гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности. Следовательно, если в результате нарушения норм, регулирующих порядок хранения, обработки и использования персональных данных работника, допущенного лицом, ответственным за осуществление вышеперечисленных действий с персональными данными, работнику причинен имущественный ущерб или моральный вред, он подлежит возмещению в денежной форме в соответствии со ст. 151 и 1099 ГК РФ.

Все нарушения в области обработки и хранения персональных данных могут быть выявлены федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзором (именно этот орган уполномочен на защиту прав субъектов персональных данных и обеспечение контроля и надзора за соответствием их обработки требованиям закона) в ходе проверочных мероприятий.

Разработка положения о персональных данных

Какие данные в конкретной организации подлежат хранению и обработке в качестве персональных, кто имеет доступ к ним, каким образом осуществляется их защита от несанкционированного доступа? Об этом говорится в положении о персональных данных, которое должно быть разработано в каждой организации (ст. 87 ТК РФ).

Коммерческие медицинские организации разрабатывают такое положение самостоятельно, а вот учреждениям здравоохранения при его разработке следует руководствоваться положениями, утвержденными ведомственными нормативными актами. Например, таким документом является Приказ Росздравнадзора от 12.05.2009 N 3500-Пр/09 "О защите персональных данных государственных гражданских служащих центрального аппарата и заместителей руководителей территориальных органов Федеральной службы по надзору в сфере здравоохранения и социального развития".

Требования к оформлению и содержанию положения о персональных данных законодательством не установлены, поэтому каждое учреждение разрабатывает его самостоятельно. В любом случае лучше всего включить в такое положение следующую информацию:

- сведения, относящиеся к персональным данным, порядок их получения;

- перечень лиц, имеющих право доступа к персональным данным, их права и обязанности, режим доступа к таким данным;

- способы защиты персональных данных;

- права работника и работодателя в области обработки персональных данных;

- порядок ознакомления работника с его персональными данными, получения им копий документов, их содержащих;

- ответственность за нарушение норм по обработке персональных данных.

Примерная структура этого документа выглядит так.

1. Общие положения. В данном разделе документа нужно сформулировать цель разработки положения о персональных данных, дать ссылки на законодательные акты, на основании которых создан документ. Здесь же можно определить порядок введения положения в действие и его пересмотра.

2. Состав персональных данных работника. Здесь нужно перечислить данные, которые поступают от работника и требуют обработки, хранения и защиты. Кроме того, в этом разделе должна содержаться информация, необходимая организации для предоставления в военкоматы, органы налоговой службы, социального обеспечения, Пенсионный фонд.

Помимо сведений конкретно о работнике, в этот раздел можно включить перечень документов, которые содержат персональные данные и, следовательно, также относятся к конфиденциальной информации: трудовой договор (дополнительные соглашения), приказы по личному составу, анкеты, личную карточку работника, личный листок по учету кадров. Полный список таких документов можно составить, изучая номенклатуру дел кадровой службы.

3. Порядок получения, обработки и хранения персональных данных. Здесь следует указать источник информации обо всех персональных данных работника и обозначить порядок получения таких данных от третьей стороны. В этом разделе также нужно указать структурные подразделения или должностных лиц, которые осуществляют работу с персональными данными, а также виды носителей (только традиционная бумажная форма, сочетание традиционной и электронной форм), на которых фиксируются персональные данные.

Напомним, что Федеральным законом от 25.07.2011 N 261 в Федеральный закон N 152-ФЗ была введена новая ст. 22.1, которая обязывает работодателя назначить лицо, ответственное за организацию обработки персональных данных работников. Такое ответственное лицо должно:

- осуществлять внутренний контроль за соблюдением работодателем и работниками законодательства РФ о персональных данных, в том числе требований к их защите;

- доводить до сведения работников положения законодательства РФ о персональных данных, локальных актов по вопросам их обработки, требования к защите таких данных;

- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) контролировать прием и обработку таких обращений и запросов.

Кроме того, в указанном разделе надо отразить место хранения персональных данных как на бумажных, так и на электронных носителях (структурное подразделение или специальный кабинет). Это могут быть служба кадров, бухгалтерия, служба безопасности, отдел режима и т.д.

4. Доступ к персональным данным. В этом разделе устанавливается порядок пользования персональными данными каждым структурным подразделением организации. Оговариваются порядок доступа к ним должностных лиц (лучше перечислить конкретные должности) и работника, к которому эти сведения относятся, третьих лиц по доверенности работника, порядок предоставления персональных данных другим организациям и гражданам.

Здесь же следует установить порядок предоставления персональных данных родственникам и членам семьи работника. По закону это делается только с его письменного согласия. При этом следует регламентировать состав необходимых документов, подтверждающих право на подобные запросы.

5. Защита персональных данных. Вначале отметим, что персональные данные работника могут храниться в документированной и (или) электронной формах. Поэтому при организации защиты персональных данных следует учитывать требования, установленные Постановлением Правительства РФ N 1119, а также Постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Нужно описать меры защиты данных, хранящихся в бумажной форме, - запирающиеся шкафы, сейфы, опечатанное помещение, пропускной режим и т.п., а также меры защиты сведений, хранящихся на электронных носителях.

Отметим, что одной из мер защиты персональных данных является обязательство должностных лиц учреждения не разглашать персональные данные. Следовательно, от сотрудников, имеющих отношение к получению, обработке, хранению персональных данных, должны быть получены расписки о неразглашении. Форма такой расписки может быть приведена в приложении к положению о персональных данных. Сами расписки должны храниться в одном деле с подлинником положения. По мере смены должностных лиц эти обязательства должны обновляться.

6. Ответственность. В этом разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.

Оформление и введение в действие положения о персональных данных

При разработке положения о персональных данных учреждение использует общие правила оформления организационных документов, предусмотренные ГОСТ Р 6.30-2003 "Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов", утвержденным Постановлением Госстандарта РФ от 03.03.2003 N 65-ст. Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается работодателем путем издания приказа, который подписывает руководитель организации или иное уполномоченное им лицо. При наличии в организации представительного органа работников положение о персональных данных должно приниматься с учетом требований ст. 372 ТК РФ.

Отметим, что работники должны быть ознакомлены с положением о персональных данных под расписку (ст. 68, 86 ТК РФ).

Т. Шадрина,

эксперт журнала "Учреждения здравоохранения:

бухгалтерский учет и налогообложение"

"Учреждения здравоохранения: бухгалтерский учет и налогообложение", N 11, ноябрь 2013 г.