Постановка работы с персональными данными "с нуля" (С. Гаюнов, "Кадровик. Кадровое делопроизводство", N 12, декабрь 2012 г.)

Постановка работы с персональными данными "с нуля"

Несмотря на то что понятие персональных данных существует уже более 10 лет, до сих пор немало таких работодателей, которые даже не слышали об обязанности создать надлежащую защиту этого вида конфиденциальной информации. О том, с чего начать работу в этом направлении, - наша статья.

Шаг 1. Определяем, что подлежит охране

Не только на Трудовой кодекс надо опираться при определении сущности данного понятия. Этот же термин является ключевым в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных" (ред. от 25.07.2011 от далее - Закон о персональных данных), где под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Видно, что ТК РФ сузил значение этого понятия, ограничив его рамками только трудовых отношений, в то время, как целью Закона о персональных данных является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Так какие же данные о сотрудниках нужны работодателю, чтобы построить их защиту?

Обратимся к закону и методом исключения выясним, какие сведения о работниках работодатель не вправе собирать. Согласно ч. 1 ст. 86 ТК РФ работодатель не имеет права получать и обрабатывать персональные данные работника:

- о его политических, религиозных и иных убеждениях и частной жизни (правда, что касается частной жизни, то закон делает оговорку, что в отдельных случаях это возможно, но с письменного согласия сотрудника);

- о его членстве в общественных объединениях или его профсоюзной деятельности (за исключением случаев, предусмотренных федеральными законами).

Исследователями не раз делались попытки создать определенную классификацию сведений которые могут быть отнесены к персональным данным. Приведем одну из них [1, с. 23].

1) имя (фамилия, имя, отчество) и документы, подтверждающие личность;

2) пол, возраст и анатомические характеристики (рост, вес и др.) и биометрические данные;

3) сведения об образовании, квалификации, прохождении стажировки, наличии разряда и др.;

4) сведения о состоянии здоровья и сексуальной ориентации;

5) национальная, этническая и расовая принадлежность;

6) место жительства;

7) сведения о привычках и увлечениях, в том числе "вредных" (алкоголь, наркотики и др.);

8) особенности взаимоотношений и общения с другими людьми (семейное положение, наличие детей, родственные связи и др.);

9) данные о фактах предшествующей жизни и трудовой деятельности (месте предыдущей работы, размере заработка, судимости, службе в армии, пребывании на выборных должностях, на государственной службе и др.);

10) религиозные и политические убеждения (принадлежность к конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзе, и др.);

11) финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);

12) сведения о деловых и иных личных качествах, которые носят оценочный характер.

Уже не раз говорилось исследователями, что понятия "персональные данные" и "частная жизнь" лица в значительной части пересекаются, а элементы частной жизни могут составлять персональные данные. Так, относятся к персональным данным, но не затрагивают частную жизнь так называемые анкетные данные. Это прежде всего индивидуализирующие признаки физического лица, то есть имя и место жительства. Сюда относятся сведения о дате и месте рождения, паспорте или ином удостоверении личности, об образовании, профессиональной подготовке, о предыдущей трудовой деятельности.

Сведения, относящиеся к частной жизни работника и входящие в его персональные данные, могут быть разделены на группы [1, с. 24].

1. Сведения, необходимые работодателю и получаемые им от работника или с его согласия в соответствии с ТК РФ и федеральными законами. Это касается наличия инвалидности и профессиональных заболеваний, имущественного и семейного положении и др. Типичными примерами являются следующие. Согласно ст. 9 Федерального закона от 25.07.1998 N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации" (ред. от 27.06.2011) работники военизированных и некоторых иных видов государственной службы, а также персонал некоторых организаций обязаны пройти дактилоскопическую регистрацию. В силу ст. 214 ТК РФ работник обязан немедленно извещать своего непосредственного или вышестоящего руководителя об ухудшении состояния своего здоровья, в том числе о появлении признаков острого профессионального заболевания (отравления). Такие требования установлены как в целях защиты прав самого работника, так и безопасности окружающих его людей и производства. Кроме того, работодателю разрешено запрашивать сведения о состоянии здоровья работника, которые относятся к вопросу о возможности выполнения работником трудовой функции (абз. 6 ч. 1 ст. 88 ТК РФ).

2. Сведения, представляемые работником по своей инициативе, если они необходимы для получения льгот, гарантий и компенсаций. Это касается, например, матерей-одиночек, беременных, усыновителей, опекунов и др. Если работник - член профсоюза увольняется по п. 2, 3 или п. 5 ч. 1 ст. 81 ТК РФ, то требуется учет мотивированного мнения выборного органа первичной профсоюзной организации (ст. 373 ТК РФ). Из этого следует, что работник сам извещает работодателя о членстве в профсоюзе, если желает воспользоваться правом на защиту трудовых прав профессиональным союзом.

Как мы убедились, персональные данные о человеке шире по содержанию, чем персональные данные работника. Рассмотрим теперь построение системы защиты этих сведений.

Шаг 2. Назначаем ответственное лицо

Поскольку любой работодатель получает персональные данные работников в рамках трудовых отношений, то необходимо в каждой организации назначить лицо, ответственное за организацию обработки персональных данных.

Если проанализировать приведенный выше перечень персональных данных работника, то становится ясно, что наиболее вероятным лицом, ответственным за их обработку, будет являться кадровик либо бухгалтер. Ведь если с большей частью персональных данных сталкиваются многие сотрудники (например, документы, подтверждающие личность, место жительства и т.д.), а с некоторыми - вообще все (фамилия, имя, отчество), то с такими данными о сотруднике, как семейное положение, место предыдущей работы, размер заработка, пребывание на государственной службе и др., "по долгу службы" сталкиваются немногие.

Лицо, ответственное за организацию обработки персональных данных, назначается приказом.

Если в кадровой службе работает несколько специалистов, то целесообразно остановить выбор на специалисте по делопроизводству, так как персональные данные сотрудников размещаются на каком-то материальном носителе, и таким материальным носителем чаще всего выступают документы, причем документы, включенные в личное дело сотрудника.

Примерный образец

Общество с ограниченной ответственностью "Морепродукты"

Приказ

10.10.2012

N 23

Москва

Во исполнение Федерального закона "О персональных данных"

Приказываю:

Назначить ответственным за организацию обработки персональных данных менеджера по персоналу Кириллову Анну Олеговну.

Возложить на Кириллову А.О. обязанности по созданию системы защиты персональных данных сотрудников организации.

Генеральный директор

А.А. Давыдов

До издания приказа следует объяснить ответственному за персональные данные, в чем будет заключаться его работа и в чем состоят его обязанности.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Шаг 3. Уведомляем Роскомнадзор

Ст. 22 Закона о персональных данных обязывает еще до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Но оператор вправе осуществлять без уведомления обработку тех персональных данных, которые связаны с трудовым законодательством.

Так же не надо торопиться с уведомлением об обработке персональных данных:

- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

- сделанных субъектом персональных данных общедоступными;

- включающих в себя только фамилии, имена и отчества субъектов персональных данных;

- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

- обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

В соответствии с п. 1 ст. 23 Закона о персональных данных и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утв. постановлением Правительства РФ от 16.03.2009 N 228 (ред. от 17.09.2012), уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Полезную информацию и координаты этой службы можно найти на сайте http://www.rsoc.ru/.

Так, Роскомнадзором создан целый портал, посвященный персональным данным http://www.pd.rsoc.ru/, на котором можно узнать все: от новостей до судебных решений.

Роскомнадзор является держателем реестра операторов, осуществляющих обработку персональных данных (далее - Реестр). Это открытый информационный ресурс, содержащий сведения о более, чем 250 тыс. операторов персональных данных.

Уведомление, обязанность предоставления которого называется законом, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер по обеспечению безопасности персональных данных при их обработке, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

8) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

9) дата начала обработки персональных данных;

10) срок или условие прекращения обработки персональных данных;

11) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

12) сведения об обеспечении безопасности персональных данных.

Кстати, на портале персональных данных уведомление можно заполнить и отправить в электронной форме (см. http://pd.rsoc.ru/operators-registry/notification).

Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения об операторе в реестр операторов.

Очень важно, что на оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

Примерный образец

                               Уведомление

  об обработке (о намерении осуществлять обработку) персональных данных

         Общество с ограниченной ответственностью "Морепродукты",

                           ООО "Морепродукты"

-------------------------------------------------------------------------

   (полное и сокращенное наименование, фамилия, имя, отчество оператора)

             111111, г. Москва, Кутузовский проспект, д. 2

-------------------------------------------------------------------------

           (адрес местонахождения и почтовый адрес оператора)

руководствуясь:                     Трудовым кодексом РФ,

               ----------------------------------------------------------

  Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных"

-------------------------------------------------------------------------

            (правовое основание обработки персональных данных)

с целью:    осуществления деятельности по взаимоотношению с клиентами

        -----------------------------------------------------------------

  компании в части обработки заказов, оплаты и отпуска готовой продукции

-------------------------------------------------------------------------

                 (цель обработки персональных данных)

осуществляет обработку следующих видов персональных данных:

  фамилия, имя, отчество, контактные телефоны, адреса места жительства и

         нахождения клиентов, имущественное положение, возраст

-------------------------------------------------------------------------

                   (категории персональных данных)

   принадлежащих клиентам, состоящим в гражданско-правовых отношениях с

-------------------------------------------------------------------------

                              оператором

-------------------------------------------------------------------------

     (категории субъектов, персональные данные которых обрабатываются)

Обработка вышеуказанных персональных данных будет осуществляться путем:

смешанной обработки, информация передается с помощью сети Интернет и по

-------------------------------------------------------------------------

        (перечень действий с персональными данными, общее описание

                            внутренней сети

-------------------------------------------------------------------------

      используемых оператором способов обработки персональных данных)

Для обеспечения безопасности персональных данных принимаются следующие

меры:

   - назначение лиц, ответственных за обработку и хранение персональных

      данных, которыми являются: Кириллова Анна Олеговна, менеджер по

         персоналу, тел. +7 499 121 12 12, kirillova@.seagоods.ru,

              111111, г. Москва, Кутузовский проспект, д. 2

-------------------------------------------------------------------------

   описание мер, предусмотренных ст.ст. 18.1 и 19 Федерального закона

   - создание локальных нормативных актов, регламентирующих работу с

                        персональными данными;

-------------------------------------------------------------------------

     N 152-ФЗ от 27.07.2006 "О персональных данных", в т.ч. сведения о

   - осуществление внутреннего контроля и аудита соответствия обработки

               персональных данных законодательству РФ;

-------------------------------------------------------------------------

  наличии шифровальных (криптографических) средств и наименования этих

   - использование специального программного обеспечения "......", peг.

                     N ...., производитель "..."

-------------------------------------------------------------------------

 средств; фамилия, имя, отчество физического лица или наименование юриди-

ческого лица, ответственных за организацию обработки персональных данных,

       и номера их контактных телефонов, почтовые адреса и адреса

                            электронной почты)

Сведения о наличии или об отсутствии трансграничной передачи персональных

данных:

           Трансграничная передача персональных данных отсутствует

-------------------------------------------------------------------------

    (при наличии трансграничной передачи персональных данных в процессе

-------------------------------------------------------------------------

 их обработки указывается перечень иностранных государств, на территорию

-------------------------------------------------------------------------

   которых осуществляется трансграничная передача персональных данных)

Сведения об обеспечении безопасности персональных данных:

        Реализация разрешительной системы допуска пользователей,

-------------------------------------------------------------------------

      (сведения об обеспечении безопасности персональных данных в

 регистрация действий пользователей, учет и хранение съемных хранителей

-------------------------------------------------------------------------

                      соответствии с требованиями

    информации, использование средств защиты информации, использование

--------------------------------------------------------------------------

                к защите персональных данных, установленными

    защищенных каналов связи, организация физической защиты помещений

-------------------------------------------------------------------------

                   Правительством Российской Федерации)

Дата начала обработки персональных данных          01 января 2013 г.

                                           ------------------------------

                                                 (число, месяц, год)

Срок или условие прекращения обработки персональных данных:

                        ликвидация юридического лица

-------------------------------------------------------------------------

   (число, месяц, год или основание (условие), наступление которого

           повлечет прекращение обработки персональных данных)

Генеральный директор                                  А.А. Давыдов

---------------------     -----------------    --------------------------

   (должность)               (подпись)            (расшифровка подписи)

"01" ноября 2012 г.

В Реестр операторов вносятся следующие сведения:

а) регистрационный номер;

б) наименование (фамилия, имя, отчество), адрес оператора;

в) адреса филиалов (представительств) оператора (при наличии);

г) дата направления уведомления;

д) цель обработки персональных данных;

е) категории персональных данных;

ж) категории субъектов, персональные данные которых обрабатываются;

з) правовое основание обработки персональных данных;

и) перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных;

к) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

л) дата начала обработки персональных данных;

м) срок или условие прекращения обработки персональных данных;

н) дата и основание внесения сведений об операторе в Реестр;

о) дата и основание внесения изменения в сведения об операторе в Реестр;

п) дата и основание исключения сведений об операторе из Реестра.

Сведения, содержащиеся в Реестре, размещаются на официальном сайте Роскомнадзора не позднее 3 дней с даты подписания приказа о внесении сведений об операторе в Реестр.

В случае прекращения обработки персональных данных оператор обязан также уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Операторы исключаются из Реестра при наступлении одного из следующих условий:

- ликвидация оператора;

- прекращение деятельности оператора в результате его реорганизации, за исключением реорганизации в форме преобразования;

- прекращение оператором деятельности по обработке персональных данных;

- аннулирование лицензий на осуществление лицензируемой деятельности оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

- наступление срока или условия прекращения обработки персональных данных, указанных в уведомлении;

- вступившее в законную силу решение суда о прекращении оператором деятельности по обработке персональных данных.

Запись об исключении сведений об операторе из Реестра производится на основании приказа Роскомнадзора. В случае исключения сведений об операторе из Реестра по основаниям, не связанным с обращением оператора об исключении сведений о нем из Реестра, территориальный орган Роскомнадзора должен уведомить оператора об исключении сведений о нем из Реестра в срок, не превышающий 5 дней со дня исключения сведений о нем из Реестра.

Чтобы убедиться, что сведения о работодателе внесены в Реестр верно, можно запросить выписку из Реестра. Такая выписка делается на основании запроса в соответствующий территориальный орган Роскомнадзора.

Выписка из Реестра готовится в срок, не превышающий 5 дней с даты поступления запроса.

Шаг 4. Составляем список лиц, допущенных к персональным данным

Выше уже отмечалось, что в той или иной степени владеют "чужими" персональным данными все сотрудники. В самом деле, как можно не знать фамилию и имя коллеги? Но вот так ли всем необходимо знать его семейное положение, национальность и имущественное положение? Вот почему доступ к персональным данным следует ограничить.

Постоянно помня о том, что владение персональными данными должно быть связано с трудовыми отношениями, постараемся определить, кто из сотрудников вправе по роду деятельности знать информацию о коллегах.

Для наглядности рекомендуем использовать таблицу.

Таблица 1

Список сотрудников, допущенных к работе с персональными данными

N	Должность	Фамилия, имя, отчество,	Основания для доступа	Цели обработки	Состав персональных данных
1	Бухгалтер	Воробьева Алевтина Николаевна	Расчет зарплаты и налогообложение	Начисление зарплаты, исчисление, удержание и перечисление НДФЛ, страховых взносов, составление отчетности .................	Фамилия, имя, отчество, ИНН, регистрация по месту жительства ................ ..................
2	Менеджер по персоналу	Кириллова Анна Олеговна	Кадровое делопроизводство и кадровый учет	Отражение в документации по личному составу, составление отчетности, взаимодействие с негосударственным пенсионным фондом .................	Фамилия, имя, отчество, ИНН, регистрация по месту жительства, паспортные данные ................ ..................
3	Офис-менеджер	Валуева Ольга Юрьевна	Взаимодействие с клиентами, заказчиками, представительские функции	Оформление пропусков и допусков, оформление служебных поездок, оформление доверенностей ..................	Фамилия, имя, отчество, ИНН, регистрация по месту жительства, паспортные данные ................ ..................

Особое внимание следует обратить на цели работы того или иного сотрудника с персональными данными. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Если организация имеет представительства или структурные подразделения за рубежом, то необходимо продумать самым серьезным образом вопрос о порядке трансграничной передачи персональных данных.

Ст. 18.1 Закона о персональных данных обязывает работодателя ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Шаг 5. Получаем согласие работника на обработку персональных данных

Согласно ст. 6 Закона о персональных данных обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Работник как субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме (если иное не установлено федеральным законом).

Очень важно, что согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Обязанность предоставить доказательство получения согласия работника на обработку его персональных данных возлагается на работодателя. Вот почему работодатель должен иметь бесспорное доказательство получения согласия работника.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

Как составить такой документ? Закон о персональных данных дает ответ на этот вопрос.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Примерный образец

                                  Согласие

                      на обработку персональных данных

Я, ______________________________________________________________________

                        фамилия, имя, отчество

     паспорт: серия ____  номер __________ кем выдан ____________________

     дата выдачи "______" _______________________________________________

     адрес регистрации по месту жительства: _____________________________

     адрес регистрации по месту пребывания: _____________________________

     с    целью   исполнения  определенных  сторонами  условий  трудового

договора  даю  согласие  (название  организации, ее юридический адрес) на

обработку    в   документальной  и/или  электронной  форме  нижеследующих

персональных данных:

     -  фамилия,  имя,  отчество;  дата  рождения;  место  рождения; пол;

гражданство;    знание    иностранного  языка;  образование  и  повышение

квалификации или наличие специальных знаний; профессия (специальность);

     -    общий   трудовой  стаж,  сведения  о  приемах,  перемещениях  и

увольнениях   по  предыдущим  местам  работы,  размер  заработной  платы;

состояние  в  браке,  состав семьи, место работы или учебы членов семьи и

родственников;

     -  паспортные  данные,  адрес  места жительства, дата регистрации по

месту    жительства;   номер  телефона;  идентификационный  номер;  номер

страхового    свидетельства   государственного  пенсионного  страхования;

сведения,  включенные  в  трудовую  книжку;  сведения  о  воинском учете;

фотография;

     -  сведения  о  состоянии  здоровья,  которые  относятся к вопросу о

возможности  выполнения работником трудовой функции (могут быть добавлены

и другие данные).

     Настоящее    согласие  действует  в  течение  всего  срока  действия

трудового  договора.  Настоящее  согласие  может  быть  отозвано  мной  в

письменной форме.

"___" ___________ 20___ г.

Зарегистрировано         личная подпись

"___" ___________ 20___ г. N ______

Шаг 6. Создаем локальные нормативные акты

Ст. 87 ТК РФ подсказывает, что все вопросы работы с персональными данными работодатель обязан закрепить в локальном нормативном акте. На практике чаще всего в этих целях создают Положение о порядке работы с персональными данными работников. Поскольку закон не уточняет название документа, то не является ошибкой, если компания урегулирует вопросы обработки персональных данных в форме инструкции.

Положение о персональных данных может состоять из следующих частей:

- общие положения: цели и задачи принятия положения и вопросы, которые оно регулирует;

- состав персональных данных работников;

- перечень лиц, допущенных к работе с персональными данными;

- обработка персональных данных;

- передача персональных данных внутренним и внешним пользователям;

- порядок получения персональных данных и третьих лиц;

- доступ к персональным данным работника и других лиц;

- права и обязанности работников;

- состав и перечень мер по обеспечению защиты персональных данных;

- порядок осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству;

- ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

Законодательство о персональных данных граждан непрерывно меняется, вносятся правки в уже существующие, согласовываются новые законопроекты. Потому и созданный локальный нормативный акт подлежит периодической переработке. Ведь речь идет о защите прав и законных интересов людей, а потому следует идти "в ногу" со временем. По правилам делопроизводства локальный нормативный акт утверждается приказом. Соответственно, и изменения в него будут также вноситься приказом.

Шаг 7. Проводим разъяснительную работу

Рано или поздно придется столкнуться с работниками, которые откажутся предоставлять свое согласие на обработку персональных данных. Что делать кадровику в таких случаях?

Во-первых, внятно (желательно с примерами) разъясните работнику юридические последствия отказа предоставить его персональные данные. Пригласите для такой беседы юриста, бухгалтера, других коллег, пользующихся авторитетом в коллективе.

Во-вторых, заверьте сотрудника, что он имеет доступ к своим персональным данным, может отслеживать изменения, делать замечания и т.п.

В-третьих, работник вправе требовать блокирования или уничтожения персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Работодатель обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых мерах безопасности при обработке персональных данных.

Полагаем, что такая "просветительская" работа поможет вашим коллегам осознать значимость проводимой вами работы и надежность ее исполнения.

Библиографический список

1. Лушников А.М. Защита персональных данных работника // Делопроизводство. - 2010. - N 1.

2. Дашевская М. Персональные данные: необходимые документы // Практический бухгалтерский учет. - 2012. - N 3.

3. Мацепуро Н.А. Оформляем документы для защиты личных данных работников // Главная книга. - 2011. - N 24.

С. Гаюнов,

практикующий юрист

Словарь кадрового делопроизводства

Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ч. 1 ст. 85 ТК РФ).

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

"Кадровик. Кадровое делопроизводство", N 12, декабрь 2012 г.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.