Локальные акты по персональным данным в школе. Локальные акты образовательной организации по защите персональных данных. Соглашение о неразглашении персональных данных

При составлении локальных нормативных актов работодателям нередко приходится учитывать требования не только трудового законодательства, но и иных федеральных законов и нормативных правовых актов ().

За последний год было принято несколько актов, в том числе и судебных, которые могут напрямую повлиять на позицию проверяющих органов. Разберемся, наличие каких положений следует проверить в локальных актах и включить их туда в случае их отсутствия, чтобы избежать административной ответственности.

Должностная инструкция

1 июля текущего года вступило в силу положение, согласно которому стали обязательны для применения работодателями, если это предусмотрено ТК РФ, законами и иными нормативными правовыми актами (). До этого они за некоторым исключением носили лишь рекомендательный характер – обязательными они были, например, для педагогических работников (ст. 46 Федерального закона от 29 декабря 2012 г. № 273-ФЗ " ").

Положения должностной инструкции, разработанной в соответствии с требованиями профстандарта, также можно использовать при подборе персонала. Обязанность непосредственного руководителя и/или отдела кадров указывать соответствующие требования к кандидатам при составлении бланка заявки может быть также прописана в Положении о найме, ротации и увольнении персонала.

ПОЛЕЗНЫЕ СЕРВИСЫ

Таким образом, при составлении отказа работодателю останется лишь сослаться на конкретную должностную инструкцию и указать те требования этого документа, которым соискатель не соответствует.

Однако стоит иметь в виду, что такое требование, как отсутствие у кандидата вредных привычек, считается дискриминационным, поскольку оно не относится к деловым качествам работника. К такому выводу в мае это года Тверской районный суд г. Москвы. Следовательно, наличие данного требования в должностной инструкции и/или Положении о найме, ротации и увольнении персонала также может быть признано дискриминацией.

Положение об аттестации

Нужно ли работодателю проверять квалификацию уже работающих в организации сотрудников на соответствие профстандарту, если для данной категории специалистов он стал обязателен?

Кроме того, работодатель вправе провести аттестацию работников. Так, уточняет ведомство, при применении квалификационных справочников и профессиональных стандартов лица, не имеющие специальной подготовки или стажа работы, установленных в разделе "Требования к квалификации", но обладающие достаточным практическим опытом и выполняющие качественно и в полном объеме возложенные на них должностные обязанности, по рекомендации аттестационной комиссии назначаются на должности так же, как и лица, имеющие специальную подготовку и стаж работы.

Однако если работодатель считает, что работник не справляется со своими обязанностями, он может признать его по результатам аттестации не соответствующим занимаемой должности (). По общему правилу Положение об аттестации обязательным локальным нормативным актом не является, а значит, его отсутствие не повлечет за собой административную ответственность. Но если работодатель хочет проверить квалификацию своих работников и привести ее в последующем в соответствие определенным требованиям либо уволить не отвечающих этим требованиям сотрудников по , без такого Положения не обойтись. Исключения составляют только случаи, когда обязательная аттестация регламентирована законом или подзаконным нормативным правовым актом (например, Приказ Министерства образования и науки РФ от 7 апреля 2014 г. № 276 " ").

В Положении об аттестации могут быть перечислены все основания и условия, при которых сотрудника, не прошедшего аттестацию, "условно" допускают к работе – например, при последующем обучении за счет работодателя, повышении его квалификации и повторной переаттестации. Однако лучше избегать таких положений – оставьте только два основных вывода аттестационной комиссии: соответствует занимаемой должности и не соответствует занимаемой должности.

Политика обработки персональных данных и Положение о защите, хранении, обработке и передаче персональных данных работников

С 1 сентября 2015 года при сборе персональных данных операторы обязаны обеспечивать локализацию персональных данных россиян на серверах, расположенных на территории России (ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ " "; далее – закон о персональных данных). И работодатель, поскольку он является оператором, также обязан соблюдать указанное требование. Принимать новые локальные акты закон не требует, а вот коррективы в уже существующие следовало внести еще до сентября прошлого года.

Деятельность компании в части защиты персональных данных, как правило, регламентируют два документа: Политика обработки персональных данных и Положение о защите, хранении, обработке и передаче персональных данных работников.

Собственно, локальным нормативным актом является только Положение, которое распространяется на сотрудников организации. Однако в поле зрения компании часто попадают и персональные данные, которые касаются третьих лиц (контрагентов, клиентов, родственников сотрудников и др.). Порядок работы с этими данными как раз и фиксируется в Политике. "Политику о порядке обработки персональных данных мы должны сделать публичной (). Проще всего разместить ее на своем сайте. Но есть организации, у которых нет сайта – в этом случае, как правило, рядом с тем местом, где посетителям оформляются пропуска, вешают кармашек, в который вкладывается Политика на бумажном носителе. Любой человек сможет ее вынуть и изучить", – уточнила 5 июля на конференции, организованной "АСЭРГРУПП", к.ю.н., доцент кафедры трудового права Национального исследовательского университета "Высшая школа экономики", ведущий научный сотрудник отдела законодательства о труде и социальном обеспечении Института законодательства и сравнительного правоведения при Правительстве РФ Татьяна Коршунова . Соблюдение указанных требований может не только ГИТ, но и сотрудники Роскомнадзора.

И в Политике, и в Положении должно быть условие о том, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Кроме того, нужно указать место нахождения такой базы данных.

"Иногда спрашивают, нельзя ли совместить два эти документа в одном. Конечно, можно, но только локальные акты не предусмотрены для того, чтобы ими руководствовались третьи лица. Например, зачем знакомить с ним человека, который по доверенности получает товар? Это будет нелогично", – заключает Татьяна Коршунова.

Правила внутреннего трудового распорядка

В начале года Европейский суд по правам человека (ЕСПЧ) право работодателя контролировать переписку сотрудников в рабочее время . Суть спора состояла в том, что сотрудник, уволенный из компании за использование служебного аккаунта для личного общения, счел действия работодателя по чтению находящихся в мессенджере сообщений нарушением его права на тайну переписки. ЕСПЧ, однако, встал на сторону работодателя, отметив, что тот вправе знать, чем занимается его сотрудник в рабочее время, и контролировать деятельность работников по использованию Интернета только для осуществления профессиональной деятельности. Тем более, что использование корпоративного аккаунта в личных целях было прямо запрещено корпоративными правилами, и работник был предупрежден о возможных проверках.

Таким образом, Суд признал право работодателя проверять переписку сотрудников.

"Отслеживать содержание корпоративной почты, интернет-траффик, использование компьютера – законное право работодателя. Что и подтвердил ЕСПЧ в указанном выше решении", – порталу ГАРАНТ.РУ эксперт центра правового содействия законотворчеству "Общественная Дума" Сергей Слесарев .

Аналогичные выводы есть и в решении российских судов (Апелляционное определение Верховного суда Республики Башкортостан от 1 декабря 2015 г. по делу № 33-17852/2015, ).

С тем, чтобы исключить уголовную ответственность за и обезопасить себя от претензий со стороны сотрудников, желательно включить условие о проверке корпоративной переписки в Правила внутреннего трудового распорядка или иной локальный акт.

МНЕНИЕ

Татьяна Коршунова, к.ю.н., доцент кафедры трудового права Национального исследовательского университета "Высшая школа экономики", ведущий научный сотрудник отдела законодательства о труде и социальном обеспечении Института законодательства и сравнительного правоведения при Правительстве РФ:

"В Правилах внутреннего трудового распорядка или в специальном документе о пользовании корпоративной почтой работодатель должен зафиксировать, что корпоративная почта может использоваться исключительно для деловой переписки. Использование корпоративного почтового ящика для личных целей не допускается. Также следует указать, что работодатель имеет право в любой момент проверить корпоративную почту сотрудника.

Когда работник заранее знакомиться с данным локальным актом и ставит свою подпись, он дает работодателю свое согласие на это. Если ему не хочется, чтобы кто-то проверял его корпоративную почту, значит он просто ищет другую работу".

Складывающаяся судебная практика подтверждает законность проверки работодателем не только корпоративной электронной почты сотрудников, но и их активности в социальных сетях. Частое посещение сайтов, не имеющих прямого отношения к выполняемой работе, может быть признано нарушением трудовой дисциплины и в разных случаях послужить основанием для сокращения должности работника на 0,5 ставки, объявления выговора и даже для увольнения (апелляционное определение Новгородского областного суда от 6 июня 2012 г. по делу № 2-1935/12-33-823, апелляционное определение Рязанского областного суда от 11 февраля 2015 г. № 33-335, апелляционное определение Омского областного суда от 12 февраля 2014 г. по делу № 33-649/2014).

Обязанность использовать корпоративный компьютер исключительно в рабочих целях, а также право работодателя проверять соблюдение сотрудниками этой обязанности, также стоит закрепить в Правилах внутреннего трудового распорядка.

***

Подводя итог, можно отметить, что сфера трудовых отношений чувствительна к изменениям даже в областях, далеких от трудового законодательства. Учитывать ли все нововведения в локальных нормативных актах, каждый работодатель решает самостоятельно. Однако своевременная корректировка основных документов компании способна обезопасить от претензий со стороны проверяющих органов и, как следствие, от административной ответственности.

Параллельно ведомство дает разъяснения. В том числе, и о форме локального нормативного акта (далее ЛНА) в области обработки персональных данных. Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации.

Какие условия должны быть указаны в ЛНА?

1. Локальный нормативный акт должен быть утвержден генеральным директором, директором, советом директоров или другими уполномоченными лицами, определенными уставом компании.

2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.

3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений.

Например, ЛНА могут определять:

• общие принципы обработки данных,
• порядок обработки данных на бумажных носителях,
• порядок обработки данных в информационных системах,
• порядок хранения персональных данных,
• порядок передачи данных,
• порядок обработки данных должностными лицами и проч.

4. В каждый ЛНА стоит включить раздел «Общие положения». В нем указать значение ЛНА, основные термины и понятия:

• «персональные данные»,
• «оператор»,
• «обработка персональных данных»,
• «трансграничная передача персональных данных» и проч.

Также можно указать права и обязанности сторон: работодателя как оператора и сотрудников — субъектов персональных данных. 5. Сотрудников компании под роспись нужно ознакомить со всеми внутренними актами компании, которые устанавливают порядок обработки персональных данных (ст. 86 ТК РФ).

Что написать в ЛНА

Цели обработки персональных данных и содержание

Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.

Примеры целей:

• использование персональных данных в информационных системах, с которыми работает компания,
• использование данных при составлении документов,
• передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
• сбор данных для принятия решения о приеме кандидата на работу и проч.

В ЛНА нужно указать всех субъектов обработки персональных данных (бывшие и настоящие сотрудники и их родственники, соискатели, клиенты, контрагенты и их представители и проч.), цели обработки персональных данных и их перечень.

Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям.
Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email.

Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья). Доступ к персональным данным

В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным.

Внутренний доступ.

Может быть полным и ограниченным.

При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников.

При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки).

Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч. 1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Назначить можно прямым приказом работодателя или прописать должность в ЛНА.

Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.).

Ответственный сотрудник будет:

• контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;
• информировать сотрудников о новых нормах, локальных актах о персональных данных;
• принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.

Внешний доступ. Нужно прописать в ЛНА условия передачи персональных данных третьим лицам, в том числе за пределы РФ (трансграничная передача): это можно делать на основании договора, поручения на обработку данных и проч.

В ЛНА нужно указать:

• наименование и местонахождение третьих лиц,
• цели передачи данных и объемы,
• перечень действий по обработке,
• способы обработки,
• требования к защите данных.

Хранение персональных данных

Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.).

Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз.

Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.).

Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений). Обеспечение конфиденциальности данных

В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных.

Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21):

• определение угроз безопасности,
• обнаружение фактов несанкционированного доступа,
• применение мер по обеспечению безопасной обработки данных,
• защита технических средств, на которых хранятся данные,
• установка антивирусов и проч.

«Одноразовая» обработка персональных данных

Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч.

В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687). Копировать информацию из журнала нельзя.

В ЛНА нужно закрепить:

• порядок пропуска гостей на территорию предприятия (ведение журнала и проч.),
• данные, которые охрана запрашивает у гостей и вносит в журнал,
• цели сбора и обработки данных гостей,
• сроки обработки данных,
• перечень лиц (имена или должности), которые ведут журнал и отвечают за его сохранность и проч.

Наконец, компания должна обеспечить неограниченный доступ к документу, в котором определена политика работы с персональными данными (п. 2 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Локальный нормативный акт можно опубликовать на сайте компании, на внутреннем портале организации, наконец, на стендах в офисе. Главное — донести информацию до реальных и потенциальных субъектов персональных данных (сотрудников, партнеров и проч.).

Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами - физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите. Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников.

Персональные данные - это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними и до увольнения.

Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке.

С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.

Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.

Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными.

Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.

Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.

Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных .

Внимание! Законодательство устанавливает, что в состав Положения должно входить . Его необходимо запрашивать у работающего на предприятии человека каждый раз, когда происходит разглашение сведений третьим лицам, например, при составлении доверенности, справок и т. д.

При этом данное согласие сотрудник может отозвать в любой момент, подав на имя своего работодателя соответствующие заявление.

Какие данные сотрудников являются персональными

Нормы законодательства определяют, что включается в состав личных данных человека. Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.

Сюда включаются:

• Полные личные данные работника (Ф.И.О.).
• Сведения о месте и дате появления его на свет.
• Адрес фактический и по регистрации.
• Социальное, семейное, имущественное положение.
• Имеющиеся у работника образование, профессия.
• Сведения о получаемых сотрудником доходах и т. д.

Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.

"Учреждения образования: бухгалтерский учет и налогообложение", 2013, N 7

С обработкой персональных данных сотрудников имеют дело все организации, и образовательные учреждения здесь не являются исключением. Более того, бухгалтеры наряду со специалистами кадровой службы по роду своей деятельности первыми начинают работать с личными данными и персонала, и обучающихся. Какие внутренние документы необходимы учреждению, чтобы обеспечить защиту персональной информации?

Вопросы использования персональных данных регулируются гл. 14 ТК РФ, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) и рядом нормативных правовых актов, изданных во исполнение этого Закона. Пунктом 8 ст. 86 и положениями ст. ст. 87, 88 ТК РФ определено, что порядок хранения и использования личных данных работников устанавливает сам работодатель с соблюдением требований трудового законодательства и иных федеральных законов. Для этого он должен утвердить соответствующий локальный нормативный акт.

Аналогичная обязанность предусмотрена в п. 2 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ: в организации должны быть изданы документы, определяющие ее политику в отношении обработки персональных данных, локальные акты, касающиеся обработки таких данных, а также устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений.

Положение о персональных данных

Какие именно нормативные акты необходимо утвердить на локальном уровне, законодатель не уточняет. Однако практика показывает, что к ним, прежде всего, относится положение о персональных данных работников (оно же положение о порядке обработки и защите персональных данных работников, положение о персональных данных, их обработке и обеспечении безопасности и т.п.), которое является главным документом в рассматриваемой сфере, регулирует основные вопросы использования персональных данных и должно быть обязательно принято в образовательном учреждении .

Необходимость разработки и утверждения подобного внутреннего документа подтверждается и нормами других правовых актов федерального уровня. Например , в Постановлении Правительства РФ от 21.03.2012 N 211 <1> в качестве одного из обязательных действий государственного или муниципального органа названо утверждение актом его руководителя правил обработки персональных данных. Правила должны устанавливать процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных, а также определять:

• содержание персональных данных для каждой цели их обработки;
• категории субъектов, личные данные которых обрабатываются;
• сроки обработки и хранения персональной информации;
• порядок уничтожения данных при достижении целей обработки или при наступлении иных законных оснований.

<1> "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

По сути, перечисленные сведения в том или ином виде находят отражение в положениях о персональных данных, разработанных в организациях.

Следующий аргумент в пользу принятия рассматриваемого локального акта - его в числе прочих внутренних документов учреждения запрашивает при проверке государственный инспектор труда . Отсутствие же положения о персональных данных квалифицируется контролирующим органом как нарушение трудового законодательства. За это организация может быть привлечена к административной ответственности по ст. 5.27 КоАП РФ: должностному лицу грозит штраф в размере от 1000 до 5000 руб., а юридическому лицу - штраф в размере от 30 000 до 50 000 руб. или административное приостановление деятельности на срок до 90 суток.

Суды поддерживают позицию инспекций труда, подтверждая правомерность и обоснованность штрафных санкций за подобные нарушения. В частности, такие выводы содержатся в Постановлениях Московского городского суда от 29.08.2011 N N 4а-1742/11 и 4а-1743/11, ФАС МО от 01.11.2006, 08.11.2006 N КА-А40/10787-06.

В то же время важно, чтобы образовательное учреждение не только утвердило положение о персональных данных, но и под подпись ознакомило с ним своих работников (в силу п. 8 ст. 86 ТК РФ). Иначе нормы трудового законодательства будут нарушены, на что указано, например, в Постановлении Девятого арбитражного апелляционного суда от 17.08.2006, 24.08.2006 N 09АП-9595/06-АК.

Обратите внимание! Сотрудники должны письменно фиксировать факт ознакомления с положением о персональных данных. В противном случае (при отсутствии личной подписи) работодатель не сможет доказать, что работник действительно был ознакомлен с этим документом.

Для ознакомления можно создать отдельный журнал со списком сотрудников, где в соответствующей ячейке каждый поставит подпись и дату. Специалисты, принимаемые на работу после утверждения положения о персональных данных, также могут ставить свою подпись в журнале (либо для них факт ознакомления должен быть зафиксирован в тексте трудового договора).

Однако нужно избегать следующей ошибки: сначала включать в трудовой договор строку об ознакомлении с рассматриваемым локальным актом (и принимать по такому договору сотрудников на работу), а лишь потом утверждать положение о персональных данных. По этому поводу тоже сложилась судебная практика. В частности, Арбитражный суд г. Москвы Решением от 04.05.2006, 15.05.2006 по делу N А40-17389/06-146-165 признал правомерными действия государственной инспекции труда по привлечению организации к административной ответственности и подтвердил факт нарушения законодательства о труде и об охране труда. Из материалов дела следовало, что работник расписался в трудовом договоре об ознакомлении с положением о персональных данных, хотя само положение было принято в организации только полтора года спустя. Таким образом, была нарушена норма п. 8 ст. 86 ТК РФ, которая устанавливает обязанность работодателя знакомить персонал под подпись с документами, касающимися обработки личных данных работников, а также их прав и обязанностей в этой области.

Содержание положения о персональных данных

В положении о персональных данных должны быть раскрыты основные вопросы, связанные с получением, использованием и защитой личной информации. А поскольку образовательные учреждения обрабатывают личные данные не только своих сотрудников, но и обучающихся и их родителей, эту особенность также необходимо отразить в рассматриваемом локальном акте.

Положение о персональных данных, как правило, включает в себя следующие разделы:

1. Общие положения.
2. Основные понятия и состав персональных данных.
3. Обработка персональных данных.
4. Передача персональных данных.
5. Доступ к персональным данным.
6. Права и обязанности субъекта персональных данных.
7. Права и обязанности оператора персональных данных.
8. Защита персональных данных.
9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

Рассмотрим содержание некоторых разделов более подробно.

Общие положения

Здесь следует указать цель создания документа (защита информации, относящейся к личности и личной жизни работников и обучающихся образовательного учреждения) и вопросы, которые он регулирует (порядок получения, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным). В этом разделе также должны быть даны ссылки на правовые акты, на основании которых разработано положение о персональных данных: Конституция РФ, ТК РФ, Федеральный закон N 152-ФЗ, Постановления Правительства РФ от 15.09.2008 N 687 <2>, от 01.11.2012 N 1119 <3> и др.

<2> "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
<3> "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Кроме того, нелишним будет указать, что положение о персональных данных и изменения к нему утверждаются приказом руководителя образовательного учреждения, а также что локальный акт является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

Основные понятия и состав персональных данных

Определения основных понятий в области персональных данных приведены в ст. 3 Федерального закона N 152-ФЗ. Прежде всего, в этом разделе целесообразно раскрыть содержание терминов "персональные данные" (в соответствии с п. 1 ст. 3 Федерального закона N 152-ФЗ) и "обработка персональных данных" (в соответствии с п. 3 ст. 3 Федерального закона N 152-ФЗ). Отдельно могут быть даны определения персональным данным работника (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника) и обучающегося (информация, необходимая образовательному учреждению в связи с отношениями, возникающими между обучающимся, его родителями (законными представителями) и учреждением).

Что касается состава личных данных, перечень таких сведений законодательно не установлен. Так, в п. 2 ст. 86 ТК РФ сказано, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами. То есть круг сведений устанавливается в локальном нормативном акте организации - положении о персональных данных.

Здесь важно разграничить персональные данные работника и обучающегося , а также документы, содержащие эту информацию. Некоторые из сведений приведены в таблице.

Субъект персональных данных	Состав персональных данных	Документы, содержащие персональные данные
Работник	- паспортные данные; - ИНН, номер страхового свидетельства государственного пенсионного страхования; - сведения об образовании, специальности; - сведения о трудовом и общем стаже, предыдущем месте работы; - сведения о заработной плате сотрудника, социальных льготах, наличии судимостей, результатах медицинского обследования на предмет осуществления трудовых функций; - сведения о семейном положении и составе семьи; - адрес места жительства; - номер домашнего, сотового телефона и др.	- копия паспорта; - копии ИНН, страхового свидетельства государственного пенсионного страхования; - копия документов об образовании, квалификации или наличии специальных знаний; - анкета, заполненная при поступлении на работу; - медицинские справки о состоянии здоровья на предмет годности к осуществлению трудовых обязанностей; - трудовой договор; - трудовая книжка; - личное дело и др.
Обучающийся	- сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность; - информация, содержащаяся в личном деле обучающегося; - информация об успеваемости; - информация о состоянии здоровья; - адрес места проживания и др.	- копия паспорта или иного документа, удостоверяющего личность; - личное дело; - документы о состоянии семьи; - документы о состоянии здоровья и др.

Обработка персональных данных

Требования, которые должны соблюдаться при обработке личных данных, приведены в ст. 86 ТК РФ и ст. ст. 6, 9 Федерального закона N 152-ФЗ. Например , в этом разделе можно прописать, что все персональные данные следует получать у самого работника или обучающегося (его родителей), а также что использование данных возможно только в соответствии с целями, определившими их получение. Целесообразно обозначить и сроки хранения документов.

Здесь же можно указать, что организация вправе обрабатывать персональную информацию только с согласия граждан, которым такие сведения принадлежат (п. 1 ч. 1 ст. 6 Федерального закона N 152-ФЗ). Однако при этом нужно учитывать следующие особенности.

1. Как сказано в Разъяснениях Роскомнадзора <4>, письменное согласие работника может быть оформлено в виде отдельного документа или закреплено в тексте трудового договора. В обоих случаях согласие должно отвечать требованиям, предъявляемым ч. 4 ст. 9 Федерального закона N 152-ФЗ.

<4> Разъяснения Роскомнадзора от 14.12.2012 "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве".

1. Если обработка персональных данных осуществляется в рамках трудового законодательства, получать согласие работника не требуется . Однако, как отмечает Роскомнадзор, такое возможно при соблюдении двух условий: объем обрабатываемых работодателем персональных данных не превышает установленного перечня и соответствует целям обработки, предусмотренным трудовым законодательством.

Кроме того, получение организацией согласия сотрудника не требуется, если обязанность по обработке, в том числе по опубликованию и размещению персональных данных работников в Интернете, предусмотрена законодательством РФ (п. 1 Разъяснений Роскомнадзора). Например , в отношении образовательных учреждений такая обязанность определена Постановлением Правительства РФ от 18.04.2012 N 343 <5>. Согласно этому документу учреждение должно размещать на своем официальном сайте в том числе информацию, содержащую персональные данные: фамилии, имена, отчества руководителя учреждения и руководителей структурных подразделений, графики их работы, адреса электронной почты, а также фамилии, имена, отчества педагогических работников, их должности, уровень образования, квалификация и др.

<5> "Об утверждении Правил размещения в сети Интернет и обновления информации об образовательном учреждении".

1. Для обработки личных данных обучающихся можно также не оформлять их согласия. Пункт 5 ч. 1 ст. 6 Федерального закона N 152-ФЗ устанавливает, что такое допустимо в случаях, когда обработка персональных данных необходима для исполнения договора , стороной которого является субъект персональных данных. В свою очередь, в ст. 54 Федерального закона от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации" <6> говорится о заключении договора об образовании между организацией, осуществляющей образовательную деятельность, и лицом, зачисляемым на обучение (родителями несовершеннолетнего лица).

<6> Вступает в силу 1 сентября 2013 г.

1. В отношении специальных категорий персональных данных (в силу ч. 1 ст. 10 Федерального закона N 152-ФЗ к ним относится, например, информация о состоянии здоровья) письменное согласие обучающегося (его родителей) на обработку получить придется . Об этом сказано в п. 1 ч. 2 ст. 10 Федерального закона N 152-ФЗ.

Доступ к персональным данным

Поскольку доступ к личным данным разрешен только специально уполномоченным лицам (абз. 6 ст. 88 ТК РФ), в этом разделе указывается круг таких лиц. В частности, внутренний доступ могут иметь следующие сотрудники: руководитель учреждения, его заместители, главный бухгалтер, бухгалтер, делопроизводитель, сам субъект персональных данных (работник или обучающийся (его родитель)). Здесь достаточно назвать должности уполномоченных сотрудников и перечень сведений, к которым имеет доступ каждый из них. К примеру, можно указать, что делопроизводитель имеет право доступа ко всем персональным данным; главный бухгалтер, бухгалтер - к сведениям о служебном положении, составе семьи, а также к сведениям, имеющим отношение к начислению заработной платы, налогов и иных обязательных платежей. А вот поименный список конкретных лиц следует утвердить отдельным приказом.

Внешний доступ к персональным данным могут иметь государственные органы (учредитель, налоговая инспекция, правоохранительные органы, органы статистики, органы социального страхования, подразделения ПФР и др.). В числе других пользователей - иные организации (сведения о работающем или уволенном сотруднике могут быть предоставлены только на основании их письменного запроса), а также родственники и члены семей (передача сведений возможна при письменном разрешении самого субъекта персональных данных).

Защита персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональной информации от неправомерного использования или утраты должна обеспечивать сама организация за счет своих средств. Поэтому в данном разделе следует определить формы хранения документов, содержащих персональные сведения . Такой формой, например, может быть хранение соответствующих документов в запирающихся шкафах либо сейфах, обеспечивающих защиту от несанкционированного доступа, или защита персональных компьютеров паролями доступа (при хранении сведений в электронном виде).

Кроме того, здесь может быть установлен круг лиц, которые вправе отвечать на письменные запросы о предоставлении информации (например, сведения могут предоставлять только уполномоченные лица), форма ответов на письменные запросы других организаций (на бланке учреждения и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках). Целесообразно определить и возможность передачи информации, содержащей персональные данные, по телефону, факсу, электронной почте (например, это запрещается либо для этого необходимо письменное согласие субъекта персональных данных).

Иные локальные акты учреждения

Помимо положения о персональных данных и документа, в котором фиксируется факт ознакомления сотрудников с указанным положением, образовательному учреждению необходимо разработать другие локальные акты в области защиты персональных данных. Жестких требований об их количестве законодатель не устанавливает. В ч. 1 ст. 18.1 Федерального закона N 152-ФЗ лишь говорится о том, что организация должна самостоятельно определить состав и перечень мер, необходимых и достаточных для выполнения обязанностей, предусмотренных законодательством РФ в области персональных данных. Это меры организационного, правового и технического характера.

Пакет локальных актов может быть дополнен следующими документами, с которыми соответствующие работники тоже должны ознакомиться под подпись.

1. Приказ о назначении лица, ответственного за организацию работы с персональными данными (им, как правило, становится либо менеджер по кадрам, либо бухгалтер). Основанием для такого назначения является п. 1 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ. Обязанности ответственного сотрудника (согласно ст. 22.1 Федерального закона N 152-ФЗ) могут быть определены отдельным документом.
2. Приказ об установлении списка лиц, имеющих право доступа к персональным данным (основание - п. 13 Положения, утвержденного Постановлением Правительства РФ N 687). Здесь целесообразно указать не только фамилии и должности уполномоченных работников, но и виды информации, доступ к которой они получают, а также ссылку на то, что полученные сведения могут быть использованы лишь для тех целей, для которых они сообщались (абз. 4 ст. 88 ТК РФ).
3. Обязательство о неразглашении персональных данных, позволяющее ввести личную ответственность уполномоченных работников за сохранность и конфиденциальность персональных данных. Основанием здесь является п. 2 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ (предписывает издать в организации локальные акты, устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений). Другим способом обеспечить неразглашение сведений может стать включение этого условия в трудовые договоры с уполномоченными сотрудниками.
4. Письменное согласие на обработку персональных данных (в случаях, когда необходимо его получение).

Образовательное учреждение может разработать и другие внутренние документы, например о мерах, принимаемых для обеспечения безопасности персональных данных.

Г.Зайцева

Эксперт журнала

"Учреждения образования:

бухгалтерский учет и налогообложение"

Сотрудникам кадровой службы постоянно приходится иметь дело с персональными данными работников организации.

Персональные данные работников

Сотрудникам кадровой службы постоянно приходится иметь дело с персональными данными работников организации. Причем деятельность по работе с персональными данными включает не только их получение как у потенциальных, так и у работающих сотрудников, но и обработку, хранение, передачу и иные виды использования этих сведений. Однако не всегда кадровики имеют полное представление о правилах работы с персональными данными, не во всех организациях разработаны и утверждены соответствующие локальные нормативные акты. Нередко имеют место случаи нарушения прав работников на защиту персональных данных. Вместе с тем действующее законодательство устанавливает довольно жесткие меры ответственности за нарушение норм, регулирующих обработку и защиту персональных данных, в связи с чем владение информацией о правилах работы с ними является на сегодняшний день достаточно актуальным.

Основную правовую базу в этой сфере составляют Трудовой кодекс РФ и Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (вступил в силу с 26 января 2007 г., далее - Закон N 152-ФЗ). Редакция ТК РФ, вступившая в силу в октябре 2006 г., внесла изменения в гл. 14 "Защита персональных данных работника", большинство из которых носит технический характер и связано с принятием Закона N 152-ФЗ. Но среди них есть и более существенные изменения, касающиеся передачи персональных данных и наказания лиц, виновных в нарушении порядка получения, обработки и защиты персональных данных. Эти нововведения будут изложены ниже.

Что такое персональные данные?

Прежде всего выясним, какие именно сведения могут быть отнесены к персональным данным.

Согласно ст. 3 Закона N 152-ФЗ персональные данные представляют собой любую информацию, относящуюся к определенному или определяемому на основании такой информации лицу, в том числе его:

Фамилия, имя, отчество;

Год, месяц, дата и место рождения;

Семейное, социальное и имущественное положение;

Образование и профессия;

Доходы и другая информация.

Как видно, Закон N 152-ФЗ содержит довольно широкий список сведений, относящихся к персональным данным. Приведенный перечень является открытым. Но все ли из этих данных необходимы для успешного осуществления работником его трудовых функций? Безусловно, нет. К примеру, информация о социальном и имущественном положении не относится к трудовой деятельности работника. С учетом этого ТК РФ более узко определяет персональные данные работника.

В частности, в соответствии со ст. 85 ТК РФ персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Другими словами, это сведения, которые могут охарактеризовать человека именно как работника. Каких-либо иных критериев, как и конкретного перечня персональных данных работника, ТК РФ не устанавливает. Как правило, это информация, необходимая для заключения трудового договора, заполнения личной карточки, назначения на другую должность и т.д.

Персональные данные работника содержатся в следующих документах:

В документе, удостоверяющем личность работника;

В трудовой книжке работника;

В страховом свидетельстве обязательного пенсионного страхования;

В документах воинского учета;

В документах об образовании, квалификации или о наличии специальных знаний или подготовки;

В иных документах, представляемых работником (справки, резюме, грамоты и др.);

В приказах по персоналу;

Докладных и аналитических записках;

В материалах служебных проверок и расследований.

Перечень документов, из которых можно почерпнуть персональные данные работника, также является открытым. Кроме того, в зависимости от конкретной ситуации информация может быть предоставлена работником и устно либо путем заполнения различных анкет, опросных листов. Значительная часть бумаг, содержащих персональные данные работника, находится в его личном деле.

Важно, что персональные данные работника относятся к конфиденциальной информации. Конфиденциальность означает, что любое лицо, получившее доступ к персональным данным, не должно допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания (ст. 3 Закона N 152-ФЗ). Не требуется обеспечивать конфиденциальность обезличенных и общедоступных персональных данных.

Так, к обезличенным персональным данным относятся данные, в отношении которых невозможно определить их принадлежность к конкретному лицу. А если не известно, кому именно принадлежат эти данные, то режим конфиденциальности снимается.

К общедоступным персональным данным относятся данные, доступ к которым с согласия гражданина может быть предоставлен неограниченному кругу лиц (например, с согласия гражданина такие сведения находятся в справочниках, адресных книгах и др.). В общедоступных источниках могут содержаться сведения о профессии, квалификации. Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.

Работодатель должен обеспечивать "секретность" персональных данных работника. Как правило, сбором и обработкой персональных данных в конкретной организации занимаются сотрудники кадровых служб или бухгалтеры. В трудовом договоре с работниками, обрабатывающими персональные данные, должны быть предусмотрены обязанности по обеспечению и сохранению конфиденциальности персональных данных.

Справка. Персональные данные отдельных категорий работников могут относиться к сведениям, составляющим государственную тайну. В первую очередь это касается государственных служащих. Так, в соответствии с ч. 5 ст. 14 Федерального закона от 27 мая 2003 г. N 58-ФЗ "О системе государственной службы Российской Федерации" персональные данные, внесенные в личные дела и документы учета государственных служащих, являются персонифицированными и в случаях, установленных федеральными законами и иными нормативными правовыми актами РФ, относятся к сведениям конфиденциального характера. К примеру, согласно ст. 17 Федерального закона от 3 апреля 1995 г. N 40-ФЗ "О федеральной службе безопасности" сведения о сотрудниках органов службы государственной безопасности, выполнявших (выполняющих) специальные задания в специальных службах и организациях иностранных государств, в преступных группах, составляют государственную тайну.

Обработка персональных данных

Поскольку персональные данные - это информация, с которой нужно работать (например, специалистам кадровых служб), законодательство вводит такое понятие, как обработка персональных данных, и устанавливает конкретные требования к работе с ними.

Согласно ст. 85 ТК РФ обработка персональных данных - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. Закон N 152-ФЗ более подробно раскрывает указанное понятие. Действия (операции) с персональными данными, согласно ст. 3 Закона N 152-ФЗ, включают:

Систематизацию;

Накопление;

Хранение;

Уточнение (обновление, изменение);

Использование;

Распространение (в том числе передачу);

Обезличивание;

Блокирование;

Уничтожение персональных данных.

Таким образом, под обработкой персональных данных подразумеваются любые действия, производимые с персональными данными. Например, формирование списков работников по организации, по структурным подразделениям, профессии, образованию и др.

Статья 86 ТК РФ устанавливает следующие требования к обработке персональных данных работника, предъявляемые к работодателю (соответственно, и к работнику кадровой службы) и направленные прежде всего на защиту персональных данных:

1. Обработка персональных данных работника может осуществляться в строго определенных целях, а именно для соблюдения действующего законодательства, содействия работникам в трудоустройстве, обучения и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Следовательно, в каких-либо иных целях организации обработка персональных данных запрещена.

2. При определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться действующим законодательством. То есть сведения, непосредственно не характеризующие человека как работника, не могут быть истребованы у него или переданы третьим лицам и др.

3. Важное требование, нередко нарушаемое на практике, устанавливает п. 3 ст. 86 ТК РФ: все персональные данные работника должны быть получены от него самого. В случае, когда указанные сведения можно получить только у третьей стороны, работника следует уведомить об этом заранее. Но одного уведомления недостаточно, необходимо также получить его письменное согласие. При уведомлении работника следует сообщить о целях, предполагаемых источниках и способах получения персональных данных, о характере этих данных и о последствиях отказа работника дать письменное согласие на их получение. Соответственно, сбор сведений о работнике без его ведома не допускается.

4. Во всех случаях работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и о частной жизни. Обратите внимание, что если запрет на получение и обработку данных о политических и религиозных убеждениях является безусловным, то ТК РФ разрешает получение данных о частной жизни, но только в случаях, непосредственно связанных с вопросами трудовых отношений, и лишь с письменного согласия работника.

5. Работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или о его профсоюзной деятельности.

6. При принятии решений, затрагивающих интересы работника, нельзя основываться на его персональных данных, полученных исключительно путем их автоматизированной обработки или электронного получения. Указанный запрет связан с тем, что полученные данные могут быть использованы не в том контексте. В каждой ситуации необходимо руководствоваться информацией, полученной путем комплексного сбора информации.

7. Защита персональных данных от неправомерного их использования или утраты обеспечивается работодателем за счет его средств и в порядке, установленном ТК РФ и другими федеральными законами. Это обязанность работодателя, осуществляемая за его счет.

8. Работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Такими документами могут быть положение, инструкция и др.

9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Так, если в трудовой договор будет включена норма о том, что работник отказывается от указанного права, то в этой части трудовой договор будет считаться недействительным.

10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных. Примером таких мер является принятие локальных нормативных актов о персональных данных.

Хранение и использование персональных данных

Согласно ст. 87 ТК РФ работодатель должен установить порядок хранения и использования персональных данных работников. Соответствующие нормы могут быть включены в локальный акт организации о персональных данных. При этом они должны отвечать требованиям, установленным ТК РФ и иными федеральными законами.

Основные документы, содержащие персональные данные работника, объединяются, как правило, в его личное дело. Порядок ведения и хранения личного дела устанавливается работодателем. Вместе с тем сроки хранения документов, содержащих персональные данные работника, определяются в соответствии с Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (утв. Федеральной архивной службой России 6 октября 2000 г., в ред. Решения от 27 октября 2003 г.). Так, личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов организации, работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно. Личные дела остальных работников хранятся в течение 75 лет.

Главным документом о трудовой деятельности и трудовом стаже работника, содержащим и его персональные данные, является трудовая книжка. Порядок хранения трудовых книжек устанавливают Правила ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. N 225). Согласно п. 45 Правил ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на работодателя. Для этого приказом (распоряжением) работодателя назначается специально уполномоченное лицо.

Постановлением Госкомстата России от 5 января 2004 г. N 1 утверждены унифицированные формы первичной учетной документации по учету труда и его оплаты, в соответствии с данным Постановлением работодатель осуществляет хранение указанных документов.

Распоряжением Правительства РФ от 21 марта 1994 г. N 358-р предусматривается, что в целях обеспечения сохранности документов по личному составу увольняемых работников в результате преобразования, реорганизации и ликвидации юридических лиц, а также социальной защищенности граждан, выполняющих работу по договору, учредителям вновь образующихся коммерческих и некоммерческих организаций рекомендовано включать в свои учредительные документы правила учета и сохранности документов по личному составу, а также своевременной передачи их на государственное хранение при реорганизации или ликвидации юридического лица.

Поскольку обязанность по защите персональных данных ТК РФ возлагает на работодателя, то для осуществления такой защиты следует произвести определенные действия по созданию соответствующих технических условий, в частности особый режим доступа в те помещения, где хранятся персональные данные, оборудование мест для хранения такой информации, меры, направленные на защиту персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения персональных данных.

Передача персональных данных работников

Одной из разновидностей обработки персональных данных работника является их передача как внутри организации, так и за ее пределы. Требования к передаче персональных данных работника устанавливает ст. 88 ТК РФ:

1. При передаче персональных данных работника запрещается сообщать их без его согласия:

В коммерческих целях;

Любой иной третьей стороне.

Исключением являются случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также иные случаи, предусмотренные ТК РФ и федеральными законами (например, согласно ст. 228 ТК РФ при несчастном случае на производстве работодатель обязан немедленно проинформировать ряд государственных органов).

Пример 1. ООО "Астана" обратилось к ОАО "Пермэнерго" с просьбой предоставить сведения о бывшем сотруднике ОАО "Пермэнерго". Предоставление таких сведений возможно только при наличии письменного запроса и приложенного к нему заявления самого работника. В заявлении должно быть указано, на предоставление каких именно сведений дает согласие работник.

Например:

Генеральному директору

ОАО "Пермэнерго"

Петрову Ю.Т.

от Иванова А.А.

Заявление

Прошу передать ООО "Астана", где я работаю в настоящее время, копии документов, хранящихся в личном деле.

15.06.2007 Иванов А.А. Иванов

Из этого следует, что персональные данные работников собираются для внутреннего сведения и осуществления нормальной работы организации и без согласия работника не подлежат передаче третьим лицам как письменно, так и устно.

2. Необходимо предупредить лиц, получающих персональные данные работника, о том, что они могут быть использованы только в целях, для которых были сообщены. Работодатель вправе требовать подтверждения того, что это правило соблюдено. Лица, получившие персональные данные (в том числе работники кадровых служб), обязаны соблюдать режим секретности (конфиденциальности). Это требование не относится к случаям передачи персональных данных в порядке, установленном федеральными законами (например, случаи, установленные Федеральным законом от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности". Согласно ст. 6 указанного Закона при осуществлении оперативно-разыскной деятельности проводятся такие мероприятия, как опрос, наведение справок, отождествление личности, исследование предметов и документов, снятие информации с технических каналов связи и др.).

3. Передача персональных данных в пределах одной организации или у одного индивидуального предпринимателя должна осуществляться в соответствии с локальным нормативным актом, с которым работники должны быть ознакомлены под подпись.

Справка. Новшеством ТК РФ является то, что теперь и индивидуальные предприниматели обязаны передавать персональные данные согласно локальному акту и под подпись работников.

4. Доступ к персональным данным работника разрешается только специально уполномоченным лицам. При этом указанные лица вправе получать только те персональные данные, которые необходимы им для выполнения конкретных функций. Следовательно, документы или информация, содержащая персональные данные работника, может быть частично предоставлена другим сотрудникам.

Например, руководителям структурных подразделений только в пределах их компетенции. На практике сделать это бывает довольно непросто, поскольку значительное количество персональных данных собирается в одном месте и хранится централизованно. Упорядочить работу по передаче указанных данных поможет локальный нормативный акт о персональных данных, в котором может быть прописано, кто именно из руководителей и других работников и в каком объеме исходя из их компетенции имеет доступ к персональным данным работников.

5. Запрещается запрашивать информацию о состоянии здоровья работника, кроме сведений, относящихся к вопросу о возможности выполнения работником его трудовой функции. Запрос такой информации возможен для принятия решения о переводе беременной женщины на другую работу, исключающую воздействие неблагоприятных факторов (ст. 254 ТК РФ).

6. Передача персональных данных работника представителям работников допускается лишь в объеме, необходимом для выполнения представителями указанных ими функций. Так, при расторжении трудового договора по инициативе работодателя на основании п. п. 2, 3, 5 ч. 1 ст. 81 ТК РФ на работника - члена профсоюза работодатель передает профсоюзному органу копии документов, являющихся основанием для увольнения, и проект приказа (ст. 373 ТК РФ).

Права работников на защиту персональных данных, хранящихся у работодателя

Статья 89 ТК РФ предусматривает, что в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

Полную информацию об их персональных данных и об обработке этих данных.

К примеру, в соответствии с п. 12 Правил ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. N 225) работодатель обязан знакомить владельца трудовой книжки под подпись в личной карточке с каждой записью, вносимой в трудовую книжку (о выполняемой работе, о переводе на другую постоянную работу и увольнении);

Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом.

Следует иметь в виду, что действующим законодательством за отказ в предоставлении должностным лицом информации предусмотрена уголовная и административная ответственность (ст. 140 УК РФ - штраф от 200 до 500 МРОТ или доход осужденного за период от 2 до 5 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет; ст. 5.39 КоАП РФ - штраф от 5 до 10 МРОТ);

Определение собственных представителей для защиты своих персональных данных. В основном представителями работников в отношениях с работодателями являются профсоюзы (в том числе и в вопросах защиты персональных данных), также работник может защищать свои права самостоятельно;

Доступ работника к своим медицинским данным с помощью медицинского специалиста, которого вправе выбрать сам работник;

Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. Так, согласно п. 27 указанных Правил работодатель обязан оказать работнику необходимую помощь в случаях выявления неправильной или неточной записи в трудовой книжке. При отказе работодателя исключить или исправить персональные данные работника последний вправе заявить в письменной форме о своем несогласии с его обоснованием. При этом персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Ответственность за нарушение правил работы с персональными данными

ТК РФ предусматривает, что лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работника, могут быть привлечены к дисциплинарной и материальной, гражданско-правовой, административной и уголовной ответственности (ст. 90 ТК РФ).

За нарушение правил работы с персональными данными работников сотрудник организации, ответственный за хранение таких данных, может быть привлечен к дисциплинарной ответственности путем применения к нему одного из дисциплинарных взысканий, предусмотренных ТК РФ (замечание, выговор, увольнение). Дисциплинарные взыскания могут быть наложены только на тех сотрудников, в чьих трудовых договорах содержится обязанность по соблюдению правил работы с персональными данными. При этом трудовой договор с сотрудником, разгласившим охраняемую законом тайну (к которой относятся и персональные данные), может быть расторгнут по инициативе работодателя (пп. "в" п. 6 ст. 81 ТК РФ). Однако нужно иметь в виду, что увольнение по этому основанию возможно именно за разглашение персональных данных. За иные нарушения правил работы с персональными данными работодатель вправе наложить другое дисциплинарное взыскание.

Пример 2. По вине работника кадровой службы ОАО "Цветы Москвы" Сидорова П.А. личные дела сотрудников были залиты водой. Поскольку разглашения персональных данных работников не произошло, то отсутствуют основания для расторжения трудового договора с Сидоровым П.А. по пп. "в" п. 6 ст. 81 ТК РФ. По итогам проведенной проверки ему было сделано замечание.

Что касается административной ответственности, в соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 3 до 5 МРОТ, на должностных лиц - от 5 до 10 МРОТ, на юридических лиц - от 50 до 100 МРОТ.

Кроме того, поскольку персональные данные относятся к конфиденциальной информации, необходимо иметь в виду ст. 13.14 КоАП РФ, которая предусматривает, что разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 5 до 10 МРОТ, на должностных лиц - от 40 до 50 МРОТ.

К материальной ответственности могут быть привлечены работники, обрабатывающие персональные данные (кадровики), если работодатель должен заплатить работнику, которому был причинен ущерб по их вине. Например, в результате неправильной записи в трудовой книжке (не та формулировка причины увольнения и т.п.) он был лишен возможности продолжать свою трудовую деятельность в иной организации и понес моральный и материальный ущерб.

Привлечение к гражданско-правовой ответственности возможно в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина, и т.д. (ст. ст. 150, 151, 152 ГК РФ).

УК РФ предусматривает наступление уголовной ответственности за злоупотребления и незаконные действия с информационными данными о частной жизни (ст. 137 УК РФ), за неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, если эти деяния причинили вред правам и законным интересам гражданина (ст. 140 УК РФ), и др.

Положение о персональных данных

Согласно ст. ст. 8 и 22 ТК РФ работодатель вправе принимать в пределах своей компетенции локальные нормативные акты, предусматривающие в том числе порядок хранения и обработки информации о персональных данных работника. Локальный акт (документ) организации о персональных данных работника может быть разработан в виде положения или инструкции. Разработкой его занимается, как правило, кадровая служба. Четких требований к структуре и содержанию данного локального акта действующее законодательство не содержит, но по общему смыслу он должен устанавливать порядок обработки персональных данных работников, их передачи, а также права, обязанности работника и работодателя, ответственность за нарушение установленных правил.

Примерная структура положения о персональных данных может выглядеть следующим образом.

1. Общие положения:

Цели и задачи организации в области защиты персональных данных работников;

Понятие и состав персональных данных работников;

Документы, содержащие персональные данные работников;

Порядок получения персональных данных работников.

2. Порядок хранения, использования и передачи персональных данных:

Меры, предпринимаемые к защите от несанкционированного доступа к персональным данным;

Место хранения, лицо, ответственное за хранение персональных данных работников (например, "персональные данные работников вместе с необходимыми документами передаются на хранение в отдел кадров");

Перечень лиц, имеющих доступ к персональным данным работников (руководитель организации, начальник отдела кадров, сотрудники отдела кадров и др.);

Общие требования к передаче персональных данных работников;

Порядок передачи персональных данных работников в пределах организации (в какое подразделение может быть передана соответствующая информация, порядок ее хранения в этих подразделениях, перечень лиц, имеющих право доступа к указанной информации в данных подразделениях).

3. Обязанности работодателя по хранению и защите персональных данных работников:

Обязанности по обеспечению защиты персональных данных, ознакомлению работников с внутренними документами, регламентирующими работу с персональными данными, обеспечению доступа к персональным данным и др.

4. Права работников на защиту персональных данных:

Право на бесплатный доступ к своим персональным данным, на получение копий любой записи, на определение своих представителей для защиты своих персональных данных и др.

5. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Перечень лиц, имеющих доступ к персональным данным работников организации, целесообразно оформить в качестве приложения к положению о персональных данных.

Приложение

к положению о персональных данных

Список лиц, имеющих доступ к персональным данным работников

Генеральный директор Дорошенко Н.Н. Дорошенко

С положением каждый работник должен быть ознакомлен под расписку, которая остается у работодателя.

Расписка

Я, Иванов Петр Сергеевич, ознакомлен с положением о персональных данных работника, права и обязанности в области персональных данных мне разъяснены.

12.01.2007 Иванов С.П. Иванов

Напомним, что разработка локального нормативного акта о персональных данных работников является обязанностью работодателя, неисполнение которой может повлечь привлечение к административной ответственности по ст. 5.27 КоАП РФ, а именно наложение административного штрафа на должностных лиц в размере от 5 до 50 МРОТ; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от 5 до 50 МРОТ или административное приостановление деятельности на срок до 90 суток; на юридических лиц - от 300 до 500 МРОТ или административное приостановление деятельности на срок до 90 суток.

Судебно-арбитражная практика. Общество с ограниченной ответственностью (далее - Общество) обратилось в суд с кассационной жалобой, в которой просило отменить Постановление суда апелляционной инстанции.

Из материалов судебного дела следует, что постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении Общество было привлечено к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, выразившееся в нарушении п. 8 ст. 86 ТК РФ, поскольку работник Общества Г. не был ознакомлен под подпись с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Общество обратилось в Арбитражный суд г. Москвы о признании незаконным постановления Государственной инспекции труда г. Москвы. Решением Арбитражного суда г. Москвы в удовлетворении заявленных требований отказано. Постановлением Девятого арбитражного апелляционного суда данное решение оставлено без изменения.

Как указано в кассационной жалобе, по мнению Общества, вывод суда о нарушении Обществом норм трудового законодательства не соответствует фактическим обстоятельствам и имеющимся в деле доказательствам, поскольку на момент проведения проверки Г. не являлся работником Общества, поэтому не требовалось его знакомить с документами, устанавливающими порядок обработки персональных данных.

Судом в удовлетворении кассационной жалобы было отказано. При этом суд указал, что у Общества была реальная возможность для соблюдения правил и норм трудового законодательства, но оно свою обязанность не выполнило без наличия уважительных причин (Постановление ФАС Московского округа от 27 ноября 2006 г. N КА-А40/11424-06).

Судебно-арбитражная практика. Страховое общество (далее - Общество) обратилось в суд с кассационной жалобой, в которой просило отменить Постановление суда апелляционной инстанции.

Из материалов судебного дела следует, что постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении Общество было привлечено к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, выразившееся в нарушении ст. ст. 86 - 88 ТК РФ, а именно в неиздании локального нормативного акта, которым устанавливается порядок обработки персональных данных работников, а также их права и обязанности в этой области. На Общество был наложен штраф в размере 30 тыс. руб.

Общество попыталось оспорить указанное постановление в судебном порядке. Но Решением Арбитражного суда г. Москвы в удовлетворении заявленных требований было отказано. Постановлением Девятого арбитражного апелляционного суда данное решение оставлено без изменения.

Как указано в кассационной жалобе, по мнению Общества, нарушение является малозначительным, а назначенное наказание - чрезмерно суровым, в связи с чем Обществом был поставлен вопрос об отмене судебных актов, состоявшихся по делу.

Судом в удовлетворении кассационной жалобы было отказано. При этом суд указал, что отсутствуют основания для признания данного правонарушения малозначительным (Постановление ФАС Московского округа от 1 ноября 2006 г. N КА-А40/10787-06).

Таким образом, из статьи и приведенных примеров судебно-арбитражной практики видно, что требования о защите персональных данных работников, заключающиеся в том числе в издании локального нормативного акта организации о персональных данных, носят обязательный характер. Реализация их на практике позволит избежать привлечения к ответственности, а также дополнительных затрат в случае проведения проверок.

Г.А.Соколова Юрист юридического департамента ООО "Орион-Эстейт"
Подписано в печать 28.06.2007 "Кадровая служба и управление персоналом предприятия", 2007, N 7

• Кадровое делопроизводство