Положение об обработке персональных данных работников - это локальный нормативный акт, в котором в соответствии со ст. 85 - 90 гл. 14 ТК РФ "Защита персональных данных работника" установлены требования, которые необходимо соблюдать при обработке персональных данных работника, гарантии их защиты, правила хранения и использования персональных данных, права работника по защите персональных данных и ответственность работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника.
Положение об обработке персональных данных работников утверждается и вводится в действие приказом руководителя предприятия и является обязательным для исполнения всеми работниками.
В разделе "Общие положения" дается определение цели, для которой создается Положение об обработке персональных данных. Целью создания данного документа является обеспечение защиты персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты. В этом же разделе представлен список документов, на основании которых разрабатывается данное Положение (Конституция РФ, ТК РФ, КоАП РФ, ГК РФ, УК РФ, Федеральный закон "Об информации, информатизации и защите информации"). Также в первой части Положения определяется порядок утверждения и введения в действие этого Положения.
Во втором разделе Положения - "Персональные данные работника" дается определение понятия "персональные данные". В соответствии с ТК РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах их жизни, позволяющие идентифицировать личность работника.
К персональным данным работника относится следующая информация:
- анкетные и биографические данные;
- сведения об образовании;
- сведения о трудовом и общем стаже;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате;
- сведения о социальных льготах;
- наименование специальности;
- занимаемая должность;
- сведения о наличии судимостей;
- адрес места жительства;
- домашний телефон;
- место работы или учебы членов семьи и родственников;
- содержание трудового договора;
- состав декларируемых сведений о наличии материальных ценностей;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики.
Персональные данные относятся к категории конфиденциальной информации. Работодатель не имеет права требовать от работника предоставления информации, касающейся других лиц. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
Обработка персональных данных. В этом разделе определяется порядок работы с персональными данными сотрудников.
Персональные данные следует получать у самого работника. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Работодатель не имеет права требовать у работника данные о его политических, религиозных и иных убеждениях и частной жизни, о членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством.
Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных.
При передаче персональных данных работника должны соблюдаться следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных ТК РФ и другими федеральными законами;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам согласно приказу по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном законодательством, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
В разделе "Доступ к персональным данным" определяется список сотрудников, которые могут иметь доступ к этой информации. Такими сотрудниками являются:
- руководитель организации;
- руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);
- руководитель нового подразделения при переводе сотрудника из одного структурного подразделения в другое;
- сотрудники бухгалтерии;
- сотрудники службы управления персоналом.
Имеют право доступа к персональным данным вне организации государственные и негосударственные функциональные структуры, например:
- налоговые органы;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления.
Поскольку персональные данные являются конфиденциальной информацией, в Положении обязательно должен быть раздел "Защита персональных данных". Под защитой персональных данных понимается ряд мер, предупреждающих нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и в конечном счете обеспечивающих достаточно надежную безопасность информации в процессе управленческой и производственной деятельности предприятия. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать следующие меры:
- ограничить состав работников, функциональные обязанности которых требуют использования конфиденциальных знаний;
- установить строгое избирательное и обоснованное распределение документов и информации между работниками;
- рационально разместить рабочие места работников, чтобы исключить бесконтрольное использование защищаемой информации;
- ознакомить работников с требованиями нормативно-методических документов по защите информации и сохранении тайны;
- обеспечить необходимые условия в помещении для работы с конфиденциальными документами и базами данных;
- обеспечить защиту персональных данных сотрудника на электронных носителях;
- определить и регламентировать состав работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организовать процедуру уничтожения информации;
- своевременно выявлять нарушения требований разрешительной системы доступа работниками подразделения;
- проводить воспитательную и разъяснительную работу с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- не допускать выдачу личных дел сотрудников на рабочие места руководителей.
Для обеспечения внешней защиты персональных данных также рекомендуется разработать и установить:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим организации;
- учет и порядок выдачи удостоверений;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
Раздел Положения об обработке персональных данных "Ответственность за разглашение конфиденциальной информации, связанной с персональными данными" констатирует, что юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
Персональная ответственность - одно из главных требований к организации системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
Статья 90 ТК РФ устанавливает ответственность лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника.
Статья 5.27 КоАП РФ устанавливает ответственность должностных лиц, которые должны нести дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Статья 5.39 КоАП РФ устанавливает ответственность должностных лиц за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное представление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации - наложение административного штрафа в размере от 5 до 10 минимальных размеров оплаты труда.
В соответствии с ГК РФ лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
Нарушение режима защиты, обработки и порядка использования данной информации наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
Все работники и их представители должны быть ознакомлены под расписку с Положением об обработке персональных данных, устанавливающим порядок обработки персональных данных работников, а также об их правах и обязанностях.