Личные данные работника. Система защиты (В. Романов, "Современный предприниматель. Индивидуальный подход к бизнесу", N 12, декабрь 2011 г.)

Личные данные работника. Система защиты

Какие документы должен составить коммерсант для защиты персональных данных сотрудников?

Что указывается в положении о персональных данных?

Нужно ли от каждого сотрудника получать согласие на обработку данных?

Информация о физлице, которую бизнесмен получает, принимая сотрудника на работу, относится к персональным данным, а значит, предприниматель должен выполнять требования Федерального закона о персональных данных от 27 июля 2006 г. N 152-ФЗ (далее - Закон N 152-ФЗ), а также помнить о Трудовом кодексе, которым также оговаривается защита персональных данных сотрудника.

Персональные данные в рамках ТК РФ

Информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, относится к персональным данным. Получение, хранение, комбинирование, передача или любое другое использование персональных данных кодекс называет обработкой персональных данных работника (ст. 85 ТК РФ).

Все персональные данные работника следует получать у него самого. Если информацию можно получить только у третьей стороны, то сотрудника следует уведомить об этом заранее и от него следует получить письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ).

Персональные данные работника содержатся в различных документах (таблица). Задача коммерсанта - обеспечить защиту персональных данных работника от недобросовестного их использования кем-либо или утраты (п. 7 ст. 86 ТК РФ). Кроме того, нельзя забывать о требованиях Закона N 152-ФЗ, который также регулирует вопросы хранения и обработки персональных данных. Никаких специальных систем и сейфов коммерсант приобретать не обязан. Трудовой кодекс предоставляет работодателю свободу: "порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего кодекса и иных федеральных законов" (ст. 87 ТК РФ). Необходимо документально оформить правила хранения и защиты персональных данных.

Таблица 1

Документы, в которых содержатся персональные данные работников

N п/п	Вид документа	Персональные данные сотрудника
1	Анкета, другой документ, заполняемый кандидатом на должность при собеседовании	Анкетные, биографические данные физлица
2	Копия паспорта или другого документа, удостоверяющего личность	ФИО, дата рождения. Адрес регистрации, семейное положение
3	Трудовая книжка	Информация о трудовом стаже, предыдущих местах работы
4	Копия страхового свидетельства государственного пенсионного страхования	ФИО, личные данные
5	Документы воинского учета	Информация о воинской обязанности
6	Документы об образовании, квалификации, наличии специальных знаний	Сведения о квалификации
7	Личная карточка (форма N Т-2 утверждена постановлением Госкомстата России от 5 января 2004 г. N 1)	ФИО сотрудника, место его рождения, состав семьи, образование, данные документа, удостоверяющего личность, другие сведения
8	Копии свидетельств о заключении брака, рождении детей	Состав семьи, изменения в семейном положении
9	Справка о доходах с предыдущего места работы	ФИО, данные о доходе и удержанном НДФЛ
10	Трудовой договор	Сведения о должности, зарплате, месте работы, рабочем месте, другие персональные данные
11	Приказы по личному составу	Информация о приеме на работу, переводе, увольнении, назначениях, других событиях, связанных с трудовой деятельностью

Положение о персональных данных

В первую очередь коммерсант должен составить внутренний документ, где будут урегулированы вопросы хранения и обработки сведений о сотрудниках - положение о персональных данных работников. Разработать внутренний регламент требует и Закон N 152-ФЗ. Каких-либо требований или унифицированной формы положения нет, исходя из требований законодательства основные разделы, положения приведены в таблице 2.

Таблица 2

Основные разделы, которые должны содержаться в положении о персональных данных работников

N п/п	Раздел	Содержание
1	Общие положения	Цель создания документа (защита данных), вопросы, которые регулирует положение (порядок получения, обработки, хранения), ссылки на нормативные документы, на основании которых разработано положение (Конституция, Трудовой кодекс, Закон о защите персональных данных)
2	Понятия и состав персональных данных	Все определения, связанные с персональными данными ("персональные данные", "обработка персональных данных" и др.) можно взять из статьи 3 Закона N 152-ФЗ, а также статьи 85 ТК РФ. Далее перечислить документы, в которых содержатся персональные данные, и перечислить состав персональных данных (анкетные данные, домашний адрес, телефон, сведения о стаже, зарплате и т.п.)
3	Обязанности работодателя	Требования, которые должен соблюдать работодатель, названы в статье 88 ТК РФ, а также статьях 18-21 Закона N 152-ФЗ
4	Обязанности работника	Отдельной статьи, регулирующий этот вопрос, нет. Но в числе обязанностей работника можно назвать обязанность передавать работодателю документы, содержащие персональные данные, перечень которых установлен трудовым и налоговым законодательством, а также своевременно сообщать работодателю об изменении персональных данных
5	Права работника	Права работника перечислены в статье 89 ТК РФ
6	Обработка персональных данных	Обработка персональных данных работника - это получение, хранение, комбинирование любое другое использование информации о работнике. Общие требования, которые должны соблюдаться при обработке приводятся в статье 86 ТК РФ, а также в статьях 6 и 9 Закона N 152-ФЗ. Здесь можно указать, что всю информацию работодатель собирает и хранит для трудоустройства и дальнейшего контроля за качеством выполняемой сотрудником работы (или сделать отдельный раздел "Использование персональных данных", где указать цели использования личной информации). Также можно указать сроки хранения документов
7	Передача персональных данных	Порядок передачи персональных данных внутри (это актуально для организаций), сторонним лицам, государственным ведомствам. Здесь перечисляются требования, которые должен соблюдать работодатель при передаче данных. В частности, нельзя сообщать сведения без письменного согласия сотрудника. Исключение - случаи, предусмотренные законодательством (представление сведений о доходах в налоговую, отчет в фонды)
8	Доступ к персональным данным	Оговаривается круг лиц, имеющих доступ к персональным данным (внутренний и внешний). Перечислить сотрудников, имеющих доступ к персональным данным (индивидуальный предприниматель, бухгалтер, сам работник). Достаточно назвать должности, а конкретных лиц утвердить отдельным приказом, указав, к каким именно сведениям тот или иной работник имеет право доступа. Далее следует назвать лиц внешнего доступа, то есть, кому могут быть предоставлены сведения: государственные и негосударственные функциональные структуры (налоговые инспекции, фонды, правоохранительные органы, страховые агентства, подразделения муниципальных органов управления и др.), другие организации (в случае запроса о работающем или уволенном сотруднике, сведения предоставляются с письменного согласия работника; можно еще указать необходимость письменного запроса от организации), родственники и члены семьи (сведения могут быть предоставлены родственникам или членам семьи только с письменного разрешения самого работника)
9	Защита персональных данных	Основные действия работодателя для обеспечения защиты и сохранности сведений: лица, осуществляющие оформление, ведение, хранение информации (только ИП, ИП и бухгалтер, сотрудники отдела кадров); форма хранения (в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа); хранение сведений в электронном виде (персональные компьютеры, защищенные паролем доступа); лица, которые вправе отвечать на письменные запросы о предоставлении информации (только лица, осуществляющие оформление и хранение, либо лица, имеющие доступ в пределах предоставленных полномочий); возможность передачи информации по телефону, факсу, электронной почте (обязательно письменное согласие работника)
10	Ответственность за нарушение норм, регулирующих обработку и защиту персональной информации	Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 90 ТК РФ)

Положение утверждается приказом коммерсанта. Затем все работники под роспись должны быть ознакомлены с этим документом. Можно сделать отдельный журнал (лист) со списком сотрудников, где каждый напротив свой фамилии поставит подпись и дату. Для работников, которые будут оформляться после утверждения положения, факт ознакомления можно зафиксировать в тексте трудового договора.

Далее следует установить перечень сотрудников, которым будет разрешен доступ к персональным данным. Для этого необходимо составить отдельный приказ, где будет названо лицо, ответственное за сбор, обработку, хранение персональных данных (либо оформить это назначение отдельным приказом), а также лица, имеющие доступ к информации (должности должны быть прописаны в положении о персональных данных) и перечень данных, которыми вправе пользоваться тот или иной специалист. Многие данные хранятся в электронном виде. Доступ к этой информации должен быть ограничен (пароли доступа, другие средства электронной защиты), но это не все - необходимо составить список лиц, имеющих доступ к базам данных. Поэтому придется составить либо еще один приказ, либо указать лиц, имеющих доступ к информации в электронном виде в общем приказе.

Сотрудники, получившие доступ к персональным данным других работников, обязаны не разглашать информацию. Проследить за этим сложно, но обезопасить себя коммерсант сможет, если получит от работника письменное обязательство о неразглашении данных.

Согласие работника

Обработка персональных данных осуществляется с согласия субъекта персональных данных, то есть физлица (подп. 1 п. 1 ст. 6 Закона N 152-ФЗ). Но существуют случаи, когда согласие не нужно, в частности, когда обработка осуществляется для выполнения обязанностей, возложенных на оператора (работодателя) законодательством (подп. 2 п. 1 ст. 6 Закона N 152-ФЗ). Коммерсант как работодатель обрабатывает персональные данные сотрудника для выполнения своих обязанностей, как стороны трудового договора, а именно составление отчетности, представление сведений о доходах, удержание и перечисление налога, то есть выполняет требования закона. Тем не менее, многие работодатели перестраховываются и запрашивают согласие у всех сотрудников, поскольку формулировки Закона N 152-ФЗ нечеткие, а в Трудовом кодексе эта ситуация не оговаривается.

Кроме того, если предполагается какое-либо иное использование персональных данных, выходящее за рамки Трудового кодекса, скажем, размещение информации о сотруднике на стенде или интернет-сайте, использование фамилии сотрудника в его электронном адресе, оформление визитных карточек сотруднику, то согласие лучше получить. Отметим: в согласии работника обязательно должны указываться ФИО и адрес сотрудника и предпринимателя, реквизиты паспорта работника, цель обработки данных (кадровый учет, отчетность); перечень данных, на обработку которых дается согласие; перечень действий с персональными данными, на совершение которых дается согласие; срок действия согласия, способ отзыва, подпись работника (ст. 9 Закона N 152-ФЗ).

Образец. Согласие работника на обработку персональных данных

                                                         ИП Смирнову А.С.

                                                             от менеджера

                                                           Киселевой Е.Н.

                Заявление на обработку персональных данных

Я,          Киселева Елена Николаевна

   -----------------------------------------------------------------------

зарегистрированный (ая) по адресу: г. Москва, ул. Смольная, д. 7, кв. 15

                                   ---------------------------------------

паспорт серия 45 04 N 123456 выдан ОВД "Левобережный" г. Москвы 15.04.2002

              -----   ------       ---------------------------------------

даю согласие Индивидуальному предпринимателю Смирнову Антону Сергеевичу

             -------------------------------------------------------------

адрес: г. Москва ул. Полярная, д. 25, кв. 75

       -------------------------------------------------------------------

на автоматизированную, а также  без  использования  средств  автоматизации

обработку  следующих  персональных  данных: ФИО, паспортные  данные,  дата

рождения, должность, адрес регистрации, ИНН, номер страхового свидетельст-

ва государственного пенсионного страхования ______________________________

в  целях  соблюдения  законодательства, обеспечения  личной  безопасности,

контроля выполняемой работы, обеспечения сохранности имущества.

Перечень действий с персональными данными:

- формирования  кадровых  документов  и  выполнения  требований  Трудового

кодекса;

- начисления заработной платы, исчисления и уплаты предусмотренных законо-

дательством налогов, сборов и взносов на обязательное социальное страхова-

ние;

- представления установленной  законодательством  отчетности  в  отношении

физических  лиц, в  том  числе  сведений   персонифицированного   учета  в

Пенсионный фонд РФ;

- размещения моих фотографий, фамилии, имени, отчества на интернет-сайте.

Данное согласие действительно с   1 декабря 2011 года до даты  расторжения

трудового договора _______________________________________________________

__________________________________________________________________________

Согласие может быть полностью или частично отозвано субъектом персональных

данных на основании его заявления

Дата заполнения               1 декабря 2011 года

Подпись                       Киселева

Нужно ли согласие работника, если коммерсант самостоятельно не составляет отчетность, а привлекает сторонних специалистов? Однозначного ответа на данный вопрос нет, разъяснений ведомств тоже. Отдельные налоговые представители требуют предоставить согласие каждого сотрудника и даже предлагают собственный бланк заявления. Конечно, документ лишним не будет и обезопасит от возможных претензий контролеров. Поэтому, если работников немного, согласие лучше получить от каждого. В этом случае в заявлении помимо прочего указывается лицо (нанимаемый специалист, фирма), кому будут предоставляться персональные данные. С другой стороны, налоговый агент становится представителем работодателя и, представляя отчетность, действует от его имени, то есть в рамках трудового законодательства. Что касается сохранности сведений, в договоре с привлекаемыми специалистами всегда присутствует пункт о конфиденциальности. Условие о неразглашении сведений можно предусмотреть в трудовых договорах с сотрудниками, которые будут иметь доступ к персональным данным.

В. Романов,

эксперт журнала

"Современный предприниматель. Индивидуальный подход к бизнесу", N 12, декабрь 2011 г.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.