Обработка персональных данных в кадровой службе (Е. Камалова, "Кадровик. Кадровое делопроизводство", N 4, апрель 2011 г.)

Обработка персональных данных в кадровой службе

В процессе трудовой деятельности любой работник может столкнуться с пристальным вниманием со стороны злоумышленников или конкурентов как своих, так и конкурентов организации, в которой он работает. Статья посвящена вопросам обеспечения безопасности персонала на основе защиты персональных данных работников.

Безопасность собственного персонала - это одно из тех направлений, которое должно быть обеспечено организацией в первую очередь.

Безопасность персонала - это состояние защищенности работников - самого важного ресурса предприятия, от внешних и внутренних угроз, нанесения материального, морального или физического вреда в результате случайных или преднамеренных действий.

Управление безопасностью персонала является сложной проблемой, которая представляет собой управление комплексом организационных и технических мероприятий, снижающих угрозы безопасности персонала на предприятиях.

Приведем примерный перечень некоторых потенциальных угроз персоналу:

- прямое переманивание конкурентами ведущих руководителей и специалистов;

- вербовка сотрудников конкурирующими и криминальными структурами, а в отдельных случаях - правоохранительными органами;

- шантаж или прямые угрозы в адрес конкретных сотрудников с целью склонения их к нарушению доверия со стороны работодателя (т.е. к совершению различных должностных нарушений);

- покушения на сотрудников (прежде всего, высших руководителей) и членов их семей [1].

Подобные угрозы могут быть реализованы в любой организации и по отношению к любому сотруднику, к которому по той или иной причине появился интерес со стороны злоумышленников. Осуществление подобных угроз возможно за счет знания злоумышленниками персональной информации, личных специфических данных о работнике.

Работа кадровых служб всегда связана с накоплением, формированием, обработкой и использованием значительных объемов сведений о всех категориях сотрудников. Эти сведения относятся к персональным данным, которые по своей сути отражают личную и семейную тайну работников, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа. Бесконтрольное распространение персональных данных может нанести значительный ущерб как физическому лицу - субъекту персональных данных, так и организации, в стенах которой произошла утечка конфиденциальной информации.

В организации защиты персональных данных на локальном уровне особое внимание должно быть уделено элементарным требованиям по правильной, грамотной, квалифицированной кадровой работе, профессиональному уровню подготовки и информационно-правовой культуре сотрудников кадровых подразделений. Несоблюдение сотрудниками кадровых подразделений организационных условий, направленных на защиту персональных данных работников, может способствовать образованию каналов утечки конфиденциальной информации.

Специфика защиты персональных данных лиц, осуществляющих свою профессиональную деятельность на основании трудового договора, проявляется в том, что основополагающие требования по обработке персональных данных устанавливаются нормами федерального законодательства, а порядок осуществления отдельных операций с персональными данными работника (сбор, хранение, использование, распространение) может детализироваться в локальных правовых актах. В соответствии с п. 6 ст. 22 ТК РФ за работодателями закреплено право принимать локальные нормативно-правовые акты, в которых могут быть отражены вопросы защиты конфиденциальной информации [2].

Одним из таких локальных нормативно-правовых актов является Положение о персональных данных. Положение определяет основные требования к порядку получения, хранения, комбинирования, передачи или любого другого использования персональных данных работника в связи с трудовыми отношениями в организации.

Разработка и использование эффективной системы обеспечения безопасности персональных данных работников является одной из важных частей системы управления безопасностью персонала, системы охраны жизни и здоровья работников. Образцы документов приведены в приложении к статье.

Приложение

Примерный образец

ООО "Общество"                      Утверждаю

                                    Руководитель организации

Положение                           ________________________ И.О. Фамилия

                                            дата

_____ N ___________

о защите персональных данных

1. Общие положения

1.1. Положение о защите персональных данных (далее - Положение) определяет порядок сбора, хранения, комбинирования, передачи и любого другого использования персональных данных в соответствии с законодательством Российской Федерации.

1.2. Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", иными нормативными актами, действующими на территории Российской Федерации.

2. Понятие и состав персональных данных

2.1. Персональные данные - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

2.2. К персональным данным относятся:

- сведения, содержащиеся в документах, удостоверяющих личность;

- информация, содержащаяся в трудовой книжке;

- информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;

- сведения, содержащиеся в документах воинского учета;

- сведения об образовании, квалификации или наличии специальных знаний или подготовки;

- информация о состоянии здоровья в случаях, предусмотренных законодательством;

- сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;

- сведения о семейном положении;

- информация о заработной плате;

- другая персональная информация.

2.3. К документам, содержащим информацию персонального характера, относятся:

- документы, удостоверяющие личность или содержащие информацию персонального характера;

- учетные документы по личному составу, а также вспомогательные регистрационно-учетные формы, содержащие сведения персонального характера;

- трудовые договоры с работниками, изменения к трудовым договорам, договоры о материальной ответственности с работниками;

- распорядительные документы по личному составу (подлинники и копии);

- документы по оценке деловых и профессиональных качеств работников при приеме на работу;

- документы, отражающие деятельность конкурсных и аттестационных комиссий;

- документы о результатах служебных расследований;

- подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия, руководителям структурных подразделений и служб;

- копии отчетов, направляемых в государственные органы статистки, налоговые инспекции, вышестоящие органы управления и другие учреждения;

- документы бухгалтерского учета, содержащие информацию о расчетах с персоналом;

- медицинские документы, справки;

- др. документы, содержащие сведения персонального характера.

3. Получение персональных данных

3.1. Персональные данные работника предоставляются самим работником. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.2. Работник обязан предоставлять работодателю достоверную персональную информацию. При изменении персональных данных работник должен письменно уведомить об этом работодателя в срок, не превышающий 14 дней. Работодатель имеет право запрашивать у работника дополнительные сведения и документы, подтверждающие их достоверность.

3.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.

3.5. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

4. Обработка и передача персональных данных

4.1. Обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

4.2. Допуск к персональным данным работника разрешен должностным лицам, которым персональные данные необходимы для выполнения конкретных трудовых функций. Список лиц, имеющих право доступа к персональным данным работников, представлен в Приложении N 1 к настоящему Положению.

4.3. Внешний допуск к персональным данным работников имеют сотрудники контрольно-ревизионных органов при наличии документов, являющихся обоснованием к работе с персональными данными.

4.4. При обработке персональных данных, не связанных с исполнением трудового договора, работодатель обязан получить согласие работника на обработку его персональных данных в письменном виде. Форма Согласия на обработку персональных данных работника представлена в Приложении N 2.

4.5. Требования к передаче персональных данных:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством РФ;

- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

- осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передавать персональные данные работника представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

4.6. Подразделения, а также сотрудники организации, в ведение которых входит работа с персональными данными, обеспечивают защиту персональных данных от несанкционированного доступа и копирования.

4.7. Защита персональных данных работников от их неправомерного использования или утраты обеспечивается работодателем за счет его средств в порядке, установленном законодательством РФ.

5. Хранение персональных данных

5.1. Служба кадров и иные подразделения (бухгалтерия, служба безопасности, служба системного администрирования и т.д.) организуют хранение и использование персональных данных работников в соответствии с законодательством РФ, настоящим Положением и другими локальными нормативными актами организации, регламентирующими порядок работы с персональными данными работников.

5.2. Хранение персональных данных работников осуществляется на электронных носителях, а также в бумажном варианте.

5.3. Доступ к программному обеспечению, а также к персональной информации, хранящейся на электронных носителях, строго регламентирован (Приложение N 1) и осуществляется при введении личного идентификатора и пароля пользователя.

5.4. Документы персонального характера хранятся в сейфах подразделений, ответственных за ведение и хранение таких документов.

5.5. Помещения, в которых хранятся персональные данные работников, оборудуются надежными замками и системой сигнализации.

6. Уничтожение персональных данных

6.1. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

6.2. Персональные данные работников подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении таких целей.

7. Права работника по обеспечению защиты своих персональных данных

7.1. Работники имеют право на:

- полную информацию о своих персональных данных и обработке этих данных;

- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

- определение своих представителей для защиты своих персональных данных;

- доступ к своим медицинским данным с помощью медицинского специалиста по своему выбору;

- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства РФ;

- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

8. Обязанности и ответственность работодателя за нарушение норм, регулирующих обработку и защиту персональных данных

8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут ответственность в соответствии с законодательством РФ:

- дисциплинарную;

- материальную;

- гражданско-правовую;

- административную;

- уголовную.

8.2. Предоставление работником подложных документов является основанием к вынесению дисциплинарных взысканий вплоть до увольнения.

9. Заключительные положения

9.1. Положение обязательно для всех работников Общества.

9.2. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Форма расписки представлена в Приложении N 3 к настоящему Положению.

Согласовано

Главный бухгалтер

Начальник службы кадров

Юрисконсульт

Примерный образец

Приложение N 1

к Положению о защите персональных данных

Список лиц, имеющих право доступа к персональным данным работников

N п/п	Должность	Перечень персональных данных, к которым допущен сотрудник	Примечание

Примерный образец

Приложение N 2

к Положению о защите персональных данных

Согласие работника
на обработку его персональных данных

Я, ______________________________________________________________________,

                     (Ф.И.О. полностью, должность

являясь  работником  ___________________________________________ (далее -

Оператор),  находящегося по адресу: ______________________________, своей

волей  и в своем интересе выражаю согласие на обработку моих персональных

данных  Оператором для формирования общедоступных источников персональных

данных  (справочников,  адресных  книг,  информации  в  СМИ  и  на  сайте

организации  т.д.),  включая  сбор, систематизацию, накопление, хранение,

уточнение    (обновление,    изменение),  распространение  (в  том  числе

передачу)  и  уничтожение  моих персональных данных, входящих в следующий

перечень общедоступных сведений:

     1. Фамилия, имя, отчество.

     2. Рабочий номер телефона и адрес электронной почты.

     3. Сведения о профессии, должности, образовании.

     4.    Иные    сведения,    предоставленные  мной  для  размещения  в

общедоступных источниках персональных данных.

     Также  выражаю  согласие  на  получение и передачу моих персональных

данных    органам  местного  самоуправления,  государственным  органам  и

организациям  для целей обеспечения соблюдения законов и иных нормативных

правовых  актов,  содействия в трудоустройстве, обучении и продвижении по

службе,  обеспечения  личной безопасности, контроля количества и качества

выполняемой   работы  и  обеспечения  сохранности  имущества,  оформления

доверенностей,  прохождении  конкурсного  отбора, прохождения безналичных

платежей  на мой банковский счет. Для этих целей дополнительно могут быть

получены  или  переданы  сведения  о дате рождения, гражданстве, доходах,

паспортных  данных,  предыдущих  местах  работы, идентификационном номере

налогоплательщика,       свидетельстве    государственного    пенсионного

страхования,  допуске  к  сведениям,  составляющим государственную тайну,

социальных  льготах  и выплатах, на которые я имею право в соответствии с

действующим законодательством.

     Вышеприведенное  согласие  на  обработку  моих  персональных  данных

представлено  с  учетом  п. 2  ст. 6  и п. 2 ст. 9 Федерального закона от

27.07.2006  N 152-ФЗ  "О  персональных  данных"  (ред.  от 23.12.2010), в

соответствии  с которыми обработка персональных данных, осуществляемая на

основе  федерального  закона  либо  для  исполнения  договора, стороной в

котором    я    являюсь,    может  осуществляться  Оператором  без  моего

дополнительного согласия.

     Настоящее  согласие вступает в силу с момента его подписания на срок

действия  трудового  договора  с  Оператором  и может быть отозвано путем

подачи Оператору письменного заявления.

"_____" ____________ 20___ г.

_________________________________________________________________________

          (подпись и фамилия, имя, отчество полностью прописью)

Примерный образец

Приложение N 3

к Положению о защите персональных данных

Расписка

Я, ______________________________________________________________________

                     (фамилия, имя, отчество работника)

_________________________________________________________________________

                    (структурное подразделение, должность)

ознакомлен   с   Положением   о   защите  персональных  данных,  права  и

обязанности в области защиты персональных данных мне разъяснены.

"____" ____________ 20____ г.           ____________________ И.О. Фамилия

                                              (подпись)

Библиографический список

1. Алавердов А.Р. Организация и управление безопасностью в кредитно-финансовых организациях. Учеб. пособие. - М.: Московский государственный университет статистики и информатики, 2004.

2. Маркевич А.С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях. - Автореф. дисс. на соиск. уч. ст. канд. юрид. наук. - Воронеж, 2006.

3. Кибанов А.Я. Управление персоналом организации: Учеб. - 4-е изд., доп. и перераб. - М.: Инфра-М, 2010. - 695 с.

4. Орловский Ю.П., Кузнецов Д.Л., Белицкая И.Я., Корякина Ю.С. Кадровое делопроизводство (правовые основы). Практ. пособие / Под ред. Ю.П. Орловского. - М.: Контракт, 2009. - 239 с.

5. Петровский С. Примерная форма согласия на обработку персональных данных работника.

6. Янковая В.Ф. Положение о защите персональных данных работников. - М.: ООО "Профессиональное издательство" // Секретарь-референт, 2008. - N 2.

Е. Камалова,

менеджер по обучению

ЗАО "ИТ Сервис Ритэйл энд Банкинг"

"Кадровик. Кадровое делопроизводство", N 4, апрель 2011 г.