Защита персональных данных: что нужно знать организациям?

Руководитель компании в силу трудовых отношений обладает довольно обширной и зачастую личной информацией о работниках, ведь уже в резюме соискатели перечисляют основные факты биографии, а при оформлении на должность приносят и подтверждающие документы. Контакты, семейный статус, наличие детей, образование, предыдущий опыт – не всегда человек хочет, чтобы по всем этим пунктам были осведомлены третьи лица. И что важно понимать предпринимателям: они не могут разглашать эти данные без достаточных к тому оснований.

Границы вмешательства

Любые действия с информацией о работнике, будь то сбор, хранение, систематизация, передача третьим лицам, уничтожение и пр., должны совершаться на законных основаниях и с конкретной целью. И только данные, соответствующие заявленной задаче, подлежат обработке.

Сведения о сотруднике необходимо запрашивать у него самого. Если же они могут быть получены лишь у других, то следует заручиться письменным согласием на это непосредственного «объекта исследования» (п. 3 ст. 86 ТК РФ).

К персональным данным относятся:

• ФИО, пол, возраст, изображение;

• образование, квалификация, проф.подготовка;

• адрес;

• семейные и родственные связи, наличие супруга и детей;

• судимость, служба (в армии, госорганах и пр.), предыдущие места работы;

• финансовое положение, в т.ч. данные о зарплате;

• деловые и личные качества человека в чьей-либо субъективной оценке;

• прочая идентификация сотрудника.

Согласие на обработку

Получение личной информации о человеке без его желания противозаконно. По крайней мере, для «простых смертных». А поскольку, согласно ч. 3 ст. 9 Закона о персональных данных, доказывать факт такого согласия должен работодатель, то следует заблаговременно получить этот документ в письменном виде.

Но следует учитывать, что работник в любой момент может отозвать своё разрешение на обработку личной информации, и тогда без повторно выданной бумаги собирать, систематизировать, распространять и совершать прочие действия с материалами о сотруднике уже нельзя. Кроме того, при коммуникации на эту тему с третьими лицами (запросе у них или передаче им данных о человеке) или при анализе таких категорий, как раса, вероисповедание, философские взгляды, интимная жизнь и прочих специальных моментов, придётся получить отдельное согласие, поскольку потребность в нём сложно предусмотреть заранее, а обработка этих данных должна быть немедленно прекращена, как только исчезает необходимость.

Составляя разрешение, следует указать цель обработки персональных данных, конкретный их перечень, а также срок, на который выдан документ. Разумеется, понадобится и такая основополагающая информация, как кем подписывается согласие и кому предоставляется.

Случаи, когда не требуется разрешение сотрудника:

• обработка данных нужна для выполнения контракта, заключённого между работником и компанией, или связана с осуществлением трудовых обязанностей;

• обработка предусмотрена внутренними документами предприятия: индивидуальным или коллективным договором, прочими локальными актами;

• в соответствии с законодательством публичное размещение информации о сотрудниках фирмы обязательно (например, в медицинском учреждении);

• сведения о работнике влияют на его возможность трудиться в конкретной должности (скажем, данные о здоровье педагога);

• речь об информации о близких родственниках, указанных в личной карточке сотрудника, а также при выплате алиментов, социальных пособий, допуске к гос.тайне и пр.;

• на предприятии организуется пропускной режим, который требует получения информации о работниках;

• передача личных данных нужна для спасения жизни или здоровья человека;

• в отношении уволенных сотрудников (к примеру, в рамках бухгалтерского или налогового учёта);

• сообщение необходимых данных в банк для оформления зарплатных карт (но тогда договором или локальным актом надо предусмотреть такое право);

• передача информации нужна при исполнении собственно трудовых обязанностей (скажем, при направлении в командировку);

• в большинстве случаев госорганы (Социальный фонд, налоговые инспекции, военные комиссариаты, прокуратура, полиция, суды и пр.) входят в число исключений, и передавать им сведения о работниках можно без специального согласия.

Средства автоматизации

Мы привыкли к технике, компьютерам, и вряд ли сегодня существует предприятие, на котором данные работников записывают вручную в журнал или систематизируют в иных рукописных таблицах. Однако если в обработке персональной информации участвует человек, то это считается деятельностью без использования средств автоматизации (п. 1 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 №687).

В этом случае оператор должен иметь чёткие указания относительно правил и целей обработки, конкретные инструкции по заполнению карточек, реестров, журналов и пр.

Хранение и защита

В соответствии со ст. 86 ТК РФ (п. 7) руководство компании ответственно за соблюдение конфиденциальности личных данных сотрудников. Как именно это будет обеспечиваться – решает начальник фирмы. Возможно, это будет сейф, отдельное помещение, запираемое на ключ, наличие охраны – так или иначе, следует позаботиться о том, чтобы третьи лица не могли получить неправомерный доступ к информации о работниках.

Также, обработка данных в наши дни, конечно, осуществляется при помощи компьютера. А это означает, что необходимо позаботиться и об электронной защите. Технический специалист фирмы должен руководствоваться при этом Требованиями, утверждёнными Постановлением Правительства РФ от 01.11.2012 №1119.

Оформление документации

Помимо собственно личных дел сотрудников, компании следует завести журнал учёта их персональных данных, в котором отражать любые движения на эту тему: появление новых материалов, выдача бумаг по запросу, цели и срок пользования ими и пр. Вероятно, в хоть сколько-нибудь крупной фирме придётся издать и приказ с перечнем лиц, имеющих доступ к этой информации.

Как уже указывалось выше, на предприятии необходимо иметь систему защиты материалов о работниках. Порядок хранения документов следует прописать в соответствующем акте и ознакомить с ним персонал под подпись. Как правило, в этих целях оформляется Положение о персональных данных. Судебная практика считает его обязательным: отсутствие признаётся нарушением трудового законодательства (Постановление ФАС Московского округа от 26.10.2006 №КА-А40/10220-06 по делу №А40-20745/06-148-194).

Что следует прописать в Положении о персональных данных сотрудников:

• вводная часть: цели принятия, круг регулируемых вопросов, основные термины, перечень внутренних документов компании, содержащих персональные данные работников;

• правила обработки и передачи информации о сотрудниках;

• порядок доступа к этим данным: внутренний (для «своих») и внешний (для госорганов, например);

• сроки уведомления работником руководства при изменении персональных данных;

• нормы ответственности за нарушение установленных правил.

Особенности гражданско-правовых договоров

Что же делать с внештатными сотрудниками? Оформление в рамках трудового законодательства порой невыгодно ни компании, ни работнику. Обычно такая ситуация выливается в договор подряда или оказания услуг – но означает ли это, что с защитой персональных данных можно не «заморачиваться»? К сожалению предпринимателей, нет.

Во-первых, Закон о персональных данных с одинаковой степенью относится ко всем категориям граждан и попросту дублирует многие положения Трудового кодекса, касающиеся защиты личной информации сотрудников. Во-вторых, гражданско-правовые отношения регулирует ГК РФ, п. 4 ст. 434.1 которого даёт сторонам возможность заранее обговорить моменты, являющиеся конфиденциальными.

Вместе с тем, надо учитывать, что при любой обработке персональных данных внештатников, выходящей за рамки необходимого для работы, необходимо уведомлять Роскомнадзор – трудовые отношения в этом смысле попадают в перечень исключений (ст. 22 Закона о персональных данных).

Нюансы онлайн-бизнеса

Повсеместное развитие Интернета позволило многим категориям специалистов работать дистанционно. Но как при этом оформлять документы (касающиеся, в частности, защиты персональных данных)?

Первое, что надо отметить: согласно ч. 3 ст. 312.1 ТК РФ, все положения кодекса распространяются и на удалённых сотрудников. Так что составлять придётся все бумаги, обычные для традиционной службы в офисе. Единственная «поблажка»: допусти́м обмен электронными документами, заверенными усиленной цифровой подписью (для физ.лиц это стоит порядка 1 тыс.руб. в год).

Однако многие ли дистанционщики обременяют себя получением ЭЦП? На практике стороны просто обмениваются сообщениями по электронной почте, но работодателю следует помнить: при подобной рассылке он не сможет доказать, что сотрудник ознакомлен с внутренними документами компании и согласие на обработку персональных данных отправил именно он.

Личное пространство

Каждый человек, предоставляя информацию о себе, вправе рассчитывать, что она попадёт только конкретному адресату. В России нет традиции защищать личные границы людей: интересы государства на протяжении истории всегда были на первом месте. Но жизнь меняется, дополняется законодательство, и к этому следует привыкать, чтобы не упустить момент, когда за распространение данных о сотруднике будут наказывать мгновенно и всерьёз.