Организация работы с персональными данными

Т.В. Кузнецова, проф. РГГУ

Одна из первостепенных задач сегодняшнего дня в каждой организации – регламентация работы с персональными данными.

В Федеральном законе от 27.07.2006 «О персональных данных» (в ред. от 23.12.2010) в ст. 3 главы 6 «Заключительные положения» указано: «Информационные системы персональных данных, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года». Эти требования на основании ст. 1 Закона распространяются на всех юридических лиц, осуществляющих обработку персональных данных, как с использованием средств автоматизации, так и без использования таких средств. Служба кадров организации любой организационно-правовой формы обязана привести обработку персональных данных своих работников в соответствии с действующими нормативно-правовыми актами.

К сожалению, такая работа проведена сегодня еще не во всех организациях. Дата 1 июля 2011 г. и есть изменение, внесенное в Закон 23.12.2010. Прежняя дата – 01.01.2011 − оказалась невыполнима, и срок продлен еще на полгода.

В любой организации собирают, хранят и каким-либо образом используют личную информацию своих сотрудников, в учебных заведениях еще и учащихся, в поликлиниках и больницах – пациентов, в нотариальных конторах − клиентов и т. д.

Персональные данные относятся к конфиденциальной информации. Именно с них начинается перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 06.03.1997 № 188: «Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях».

Работе с персональными данными отведена глава 14 Трудового кодекса Российской Федерации – «Защита персональных данных работника», в которой дано определение персональных данных работника как «…информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника» (ст. 85). Обратите внимание в определении на слова «необходимая работодателю», они означают, что информация о работнике может требоваться в различном объеме в зависимости от специфики организации.

В ст. 86 Трудового кодекса РФ изложены общие требования к обработке персональных данных. Обработка данных может проводиться только с согласия работников. 27 июля 2006 г. подписан отдельный Закон «О персональных данных», и в 2007−2008 гг. выходят постановления Правительства РФ, детализирующие положения Закона:

Следовательно, выполнение требований Закона и постановлений Правительства обязательно как для организаций, применяющих информационные системы при обработке персональных данных, так и организаций, ведущих пока еще работу с документами по традиционным технологиям на бумажных носителях.

Для организации работы с документами, содержащими персональные данные, необходимо провести ряд мероприятий, закрепив их в документах.

Во-первых, следует приказом руководителя назначить лицо или подразделение, если организация крупная и приходится обрабатывать большое количество данных, ответственное за работу с персональными данными и обеспечение их защиты, и наделить их соответствующими полномочиями.

Во-вторых, надо уточнить перечень персональных данных, необходимых для данной организации. Трудоемкость защиты персональных данных напрямую зависит от степени важности обработки сведений. Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категориям информации, которые подлежат более надежным методам и средствам защиты, чем данные, идентифицирующие личность. Следовательно, надо уточнить, какие данные не являются необходимыми для организации, и максимально исключить их из собираемых и, следовательно, обрабатываемых.
В-третьих − подготовить список лиц, допущенных к работе с персональными данными. Список может иметь табличную форму.

Список должен быть утвержден приказом руководителя. Лучше это сделать в приказе о назначении ответственного за работу с персональными данными и дать как приложение к приказу. Приказ может иметь такую типовую форму:
Наименование организации
ПРИКАЗ
От 00.00.0000 № 000
г. Тверь

О назначении ответственного за защиту персональных данных

В целях обеспечения выполнения требований Федерального закона от 27.07.2006 № 152 «О персональных данных»

ПРИКАЗЫВАЮ

1. Назначить ответственным за реализацию мер, предусмотренных законодательными и нормативными правовыми актами, по защите персональных данных (Ф. И. О., или отдел).
2. Внести дополнения в должностные инструкции работников, обрабатывающих персональные данные.
3. Утвердить список лиц, имеющих доступ к персональным данным (прилагается).
Директор роспись Ф. И. О

Основным документом должно стать в каждой организации Положение о работе с персональными данными.

Унифицированная форма и структура текста Положения в нормативно-правовых актах не установлены. Нет и единого заголовка. Положения, уже разработанные в организациях, называются или «О защите персональных данных работника», или «Об организации работы с персональными данными работника».

Исходя из понятий «персональные данные работника» и «обработка персональных данных», приведенных в ст. 85 ТК РФ, Положение должно охватывать требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а в соответствии со ст. 86 ТК, – и гарантии по их защите.

Текст положения может делиться на разделы, что, на наш взгляд, более правильно, но может состоять только из пунктов. Все положения начинаются с общих положений, в которых, прежде всего, указывается цель, назначение положения. Например, «в Положении о работе с персональными данными работника определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работника организации (далее приводится название организации)». Затем обязательным в Положении должна быть ссылка на законодательные и нормативно-правовые акты, в соответствии с которыми Положение разработано: Конституция РФ, Трудовой кодекс РФ (глава 14), Федеральный закон от 27.07.2006 № 152 «О персональных данных», Федеральный закон от 27.07.2006 № 149 «Об информации, информационных технологиях и защите информации», постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах передачи данных», постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В организациях, где работают государственные гражданские служащие, в Положении дается ссылка на Федеральный закон от 27.07.2004 № 79 «О государственной гражданской службе Российской Федерации», Указ Президента РФ от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела». Кроме того, указываются соответствующие нормативно-правовые акты субъекта федерации, на территории которого находится организация, и перечисляются, если они есть, нормативно-правовые акты ведомства, которому она подчинена, и документы своей организации.

В большинстве уже имеющихся положений отдельным пунктом или разделом даются основные понятия, используемые в Положении: «персональные данные», «обработка персональных данных», «распространение персональных данных», «использование персональных данных», «блокирование персональных данных», «уничтожение персональных данных», «обезличивание персональных данных», «конфиденциальность персональных данных», «транспортировка персональных данных», «общедоступность персональных данных» и др. Все определения берутся, как правило, из Федерального закона «О персональных данных». Специальным пунктом должно быть указано, что относится к персональным данным конкретно вашей организации, т. е. состав персональных данных, используемых в работе.

В ст. 85 ТК РФ персональные данные работника указаны обобщенно.

В Федеральном законе «О персональных данных» они определены как «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация», т. е. в этом определении основные персональные данные перечислены. Но это не исчерпывающий список. В соответствии со ст. 85 ТК РФ к ним может быть добавлена информация, необходимая конкретному работодателю в связи с производственной деятельностью. Поэтому в Положении о персональных данных конкретной организации перечисление сведений о работнике, указанное в Федеральном законе «О персональных данных», дополняется и вносится в Положение о работе с персональными данными с учетом особенностей деятельности данной организации. Например, сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, работой с детьми, в общепите, о заработной плате и т. д. Желательно в Положении специальным пунктом сразу отнести к персональным данным все сведения, содержащиеся в документах, заполняемых работником при поступлении на работу, и документах, оформляемых в процессе трудовой деятельности: личном заявлении, анкете, приказах по личному составу, личной карточке, личном деле, трудовом договоре (контракте), дополнительном соглашении, трудовой книжке, материалах аттестационных комиссий, отчетах, аналитических и справочных материалах, передаваемых в государственные органы статистики, налоговые инспекции, головную организацию и другие учреждения.

В разделе «Сбор и обработка персональных данных» обязательно есть пункт, в котором указывается, что персональные данные получаются и обрабатываются на основании письменного согласия работника на обработку его персональных данных. В Положении указывается, какое сведение должно содержать такое согласие. Обычно оно оформляется в форме заявления, в котором дается согласие на использование сведений (содержащих фамилию, имя, отчество; вид и номер основного документа, удостоверяющего личность; сведения о дате выдачи указанного документа и выдавшем его органе; адрес субъекта персональных данных, наименование и адрес организации, получающей согласие субъекта персональных данных, цель обработки персональных данных, перечень действий с персональными данными, на обработку которых дается согласие; общее описание используемых в организации способов обработки персональных данных; срок, в течение которого действует согласие и порядок его отзыва). Можно в организации составить трафаретный текст такого заявления. Например:

ЗАЯВЛЕНИЕ
о согласии на обработку персональных данных
Я, __________________________________________________________________
фамилия, имя, отчество
паспорт: серия__________ номер____________ кем выдан
дата выдачи «___ »_______________
адрес регистрации по месту жительства: _________________________________________________
адрес регистрации по месту пребывания:________________________________________________
с целью исполнения определенных сторонами условий трудового договора даю согласие (название организации, ее юридический адрес) на обработку в документальной и/или электронной форме нижеследующих персональных данных:

фамилия, имя, отчество; дата рождения; место рождения; пол; гражданство; знание иностранного языка; образование и повышение квалификации или наличие специальных знаний; профессия (специальность); общий трудовой стаж, сведения о приемах, перемещениях и увольнениях по предыдущим местам работы, размер заработной платы; состояние в браке, состав семьи, место работы или учебы членов семьи и родственников; паспортные данные, адрес места жительства, дата регистрации по месту жительства; номер телефона; идентификационный номер; номер страхового свидетельства государственного пенсионного страхования; сведения, включенные в трудовую книжку; сведения о воинском учете; фотография; сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции (могут быть добавлены и другие данные).

Настоящее согласие действует в течение всего срока действия трудового договора. Настоящее согласие может быть отозвано мной в письменной форме.

Отдельным пунктом Положения о персональных данных обязательно перечисляется, в каких случаях не требуется согласие работника на обработку его персональных данных.

В Положении оговаривается также порядок передачи персональных данных, способ их хранения и защиты. Персональные данные сегодня почти повсеместно хранятся как на бумажном, так и электронных носителях. Независимо от носителя они подлежат защите как конфиденциальная информация с ограниченным доступом (на бумажных носителях в закрытых шкафах и сейфах, на электронных – при помощи встроенных механизмов безопасности, используемого программного обеспечения и дополнительных аппаратно-программных средств).

В разделе «Доступ к персональным данным» оговаривается порядок доступа к ним работника организации, третьих лиц по доверенности работника, других организаций. Например, в установленном порядке данные передаются в органы Пенсионного фонда, органы социального обеспечения, контрольно-надзорным и правоохранительным органам. С письменного согласия работника его персональные данные могут быть представлены родственникам и членам семьи работника, а страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам персональные данные предоставляются при наличии не только письменного согласия работника, но и копии договора этих организаций с работником. Как приложение или отдельным пунктом в Положении перечисляются должностные лица организации, имеющие право доступа к персональным данным, например директор, аппарат дирекции, сотрудники бухгалтерии, сотрудники управления безопасности и режима, сотрудники службы кадров, руководители подразделения, в подчинении которых находится работник, и
т. д.

Заканчивается Положение разделом об ответственности за нарушение норм, регулирующих обработку персональных данных.

Положение о работе с персональными данными является локальным нормативным актом организации, обязательным для исполнения всеми работниками, оно утверждается руководителем организации или приказом.

Как видно из обзора, содержание Положения о работе с персональными данными – это достаточно сложный документ, при составлении которого необходимо предусмотреть все стороны и нюансы работы с персональными данными. Обычно Положение разрабатывается руководителем службы кадров совместно с руководителем IT-службы, обеспечивающей защиту персональных данных в электронной форме.