"О новых требованиях к работе с персональными данными" (интервью с В.В. Митрофановой, генеральным директором Института профессионального кадровика) ("Кадровик.ру", N 2, февраль 2012 г.)

"О новых требованиях к работе с персональными данными
(интервью с В.В. Митрофановой, генеральным директором Института профессионального кадровика)

Мы продолжаем обсуждать актуальные вопросы трудового законодательства с генеральным директором Института профессионального кадровика Валентиной Васильевной Митрофановой, и на этот раз поговорим об изменениях в законодательстве о персональных данных.

Какие пробелы в работе кадровых специалистов выявляются на основании инспекционной или судебной практики?

К сожалению, пробелов в работе кадровых специалистов достаточно, но с учетом того, что сейчас проводится много проверок по персональным данным, предлагаю поговорить именно об этом - тем более, что многие работодатели даже не знают, каким образом они должны были изменить свою работу с данными сотрудников. А санкции за нарушение законодательства в этой сфере достаточно жесткие, законодательно предусмотрена и уголовная ответственность, и административная вплоть до конфискации. Установлена и дисциплинарная ответственность - в виде увольнения.

А как работодатель может понять, насколько корректно в его организации налажена работа с персональными данными и соответствует ли она законодательству?

Если вы хотите себя проверить, вам достаточно ответить на следующие вопросы:

1. Можете ли вы распечатывать или сохранять резюме соискателей, поступившие по электронной почте?

2. Можете ли вы отправить в общей рассылке поздравление с днем рождения сотрудника или повесить по этому поводу плакат?

3. Может ли работодатель запрашивать у работника сведения о семейном положении и наличии детей - например, для внесения этих данных в личную карточку (форму N Т-2)?

4. Можно ли передавать в банк для безналичного перечисления средств сведения о заработной плате работника?

5. Можно ли у работника даже при его согласии брать сведения о его ближайших родственниках?

6. Можно ли обрабатывать персональные данные работников без уведомления Роскомнадзора?

7. Какие изменения были приняты в июле 2011 г. Федеральным законом N 152-ФЗ "О персональных данных"?

8. Можно ли вывесить в доступном для всех работников месте общие кадровые документы, например график отпусков?

9. Можно ли обрабатывать персональные данные работников после их увольнения?

10. Какой класс угрозы у вашей информационной системы, в которой вы работаете с персональными данными работников? И зачем нужно его определять?

И, наконец, самый главный вопрос: кто будет нести ответственность за нарушения в работе с персональными данными?

Если вы хотя бы на несколько вопросов из приведенного выше списка ответили "да" или "не знаю", значит, в вашей организации есть проблемы с обработкой персональных данных.

Каковы основные требования к работодателю в области работы с персональными данными?

Разобрать в рамках этого интервью все нюансы работы с персональными данными невозможно. Можно только привести перечень нормативных актов, которые работодатель должен изучить и построить на их основании работу с данными сотрудников.

В Институте профессионального кадровика семинары на эту тему занимают целый день - и все равно по их окончании всегда остается большое количество вопросов. Поэтому многие компании заключают договоры о консультационном сопровождении, что, пожалуй, позволяет весьма эффективно решать проблемы, возникающие у кадровой службы. Вы всегда можете обратиться в наш институт за помощью - здесь предусмотрены как корпоративные договоры, так и разовые консультации.

Приведу только основные акты. Обратите внимание: многие из них были скорректированы в 2011 г. Это Федеральный закон от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных", Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) "О персональных данных", Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановление Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", Приказ Роскомнадзора от 19.08.2011 N 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных".

В каких ситуациях работодатели допускают больше всего нарушений?

Исходя из инспекционной практики, одна из проблем касается согласия работников на обработку персональных данных. Формы такого согласия применяются многими работодателями, однако, к сожалению, они разрабатываются с нарушением требований законодательства.

Какие основные нарушения допускают работодатели, получая согласие на обработку персональных данных?

Во-первых, необходимо проверить, соблюдены ли все требования к оформлению данного согласия. Для этого надо сравнить используемый в организации документ с требованиями ст. 9 Федерального закона N 152-ФЗ "О персональных данных". В частности, в нем должны содержаться адрес оператора (работодателя) и все паспортные данные работника.

Во-вторых, важно указать срок, на который работник дает согласие на обработку персональных данных, и описать порядок отзыва согласия. Причем самой распространенной ошибкой является формулировка "на период действия трудового договора", поскольку, согласно ст. 21 указанного выше закона, она требует, чтобы после увольнения работника в течение 30 дней все его персональные данные были уничтожены. Поэтому в случае проверки применение такой формулировки может обойтись работодателю очень дорого.

В-третьих, самым сложным в составлении данного согласия является указание: персональных данных, обработку которых сотрудник разрешает; целей, для которой работодатель может осуществлять обработку; конкретных действий, которые работодатель может совершать с персональными данными. Причем наиболее трудоемкой является регламентация действий, которые работник разрешает осуществлять с его персональными данными.

Для примера возьмем такие сведения, как фамилия, имя и отчество. В этом случае необходимо получить разрешение (если работодатель осуществляет эти действия в своей обычной практике) на внесение в информационную систему, публичное поздравление с днем рождения, размещение сведений на дверной табличке, доске почета, сайте компании, на формирование внутренних справочников и многое другое.

Аналогично нужно регламентировать те действия, которые работодатель осуществляет с данными о семейном положении работника, возрасте и наличии детей, адресе прописки и т.д. Причем работник должен не только указать, какие именно сведения он разрешает обрабатывать. То есть он имеет право согласиться на использование одних данных и запретить обработку других. Причем эти действия должны быть указаны не в одной общей формулировке, а описаны подробно, исходя из сложившегося порядка работы в компании. Например, работник может в принципе запретить обрабатывать данные о детях, а может разрешить - но только для целей налоговых вычетов. Это касается и любых других сведений.

Очевидно, что очень сложно разработать такую расписку-согласие с учетов всех нюансов. Каждое действие кадровика и других работников в компании сопровождается работой с персональными данными, и на все следует получить конкретное согласие.

Примерный образец такого согласия представлен на нашем сайте www.inprofkadry.ru, но его необходимо дорабатывать с поправкой на специфику организации. Со всеми вопросами кадровики могут обратиться к нам по электронной почте - info@inprofkadry.ru.

"Кадровик.ру", N 2, февраль 2012 г.