Нужно ли положение о персональных данных? Обязательно или нет его наличие в организации? На эти и другие вопросы ответим в материале.
Основное о персданных
Лица, устраивающиеся на работу в организацию или к индивидуальному предпринимателю, раскрывают свою персональную информацию, предоставляя необходимые для трудоустройства документы. К ним, в частности, относятся (ст. 65 ТК РФ):
- паспорт или иной документ, удостоверяющий личность человека;
- трудовая книжка (если потенциальный работник не был трудоустроен до этого, книжка заводится работодателем);
- свидетельство пенсионного страхования и т.д.
Действующее законодательство устанавливает обязанность для работодателей по защите персональных сведений сотрудников. Для методологического подхода к решению данной задачи на предприятии разрабатывается Положение о персональных данных. Обязательно нужно иметь этот документ. Без комплексного подхода надежное хранение и обработка персданных невозможна. К тому же необходимость составить и утвердить данный документ установлена законом.
Информация, составляющая персональные данные сотрудников хранится на предприятии. Для ее систематизации и хранения существуют специальные документы: личные карточки сотрудников и их личные дела. В этих формах содержатся сведения, полученные от сотрудников, в том числе, при трудоустройстве.
Остальная персональная информация собирается в ходе работы сотрудников. Например, к ней относятся сведения о заработной плате, содержащиеся в расчетных ведомостях.
Нужно иметь
Итак, локальный акт, посвященный охране персональных сведений нужен. Более того, все работники должны быть ознакомлены с ним при приеме на работу (ч. 3 ст. 68, ст. 87 ТК РФ). Что обязательно включается в Положение о персональных данных?
Документ представляет собой порядок хранения, обработки и использования персональных сведений сотрудников, установленный в соответствии с требованиями действующего законодательства (ст. 8, п. 8 ч. 1 ст. 86, ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).
Защита персональных данных является обязанностью организации. Первым и обязательным шагом является утверждение Положения о персональной информации работников. Другим действенным способом защиты является назначение ответственного сотрудника.
Подходящую кандидатуру (в большинстве случаев это работник службы персонала) утверждают приказом директора компании (ч. 5 ст. 88 ТК РФ).
Важно понимать, что никаких сомнений в том, что Положение о персональных данных обязательно должно быть в организации. Правильность данного вывода подтверждают суды (см., например, постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06). Если вопреки законодательству не разработать и не утвердить документ, компанию и ее должностных лиц могут привлечь к административной ответственности (ст. 5.27 КоАП РФ).
Чтобы не ломать голову, составляя нужный локальный акт, предлагаем воспользоваться Положением о персональных данных, разработанным нашими специалистами.
Подробнее об этом см. «Образец Положения о работе с персональными данными работников 2019».
Что подразумевается под защитой персональных данных? Не секрет, что персданные – это личная и семейная информация работника, которая становится достоянием работодателя в силу, заключенного между ними трудового договора. В свою очередь работодатель обязан позаботиться о сохранности полученных сведений. Совокупность мер, предпринимаемых для этого, является защитой персональных данных. ФЗ № 152 регулирует данную сферу. Подробнее – в материале.
Понятие персинформации
Действительно, сведения о сотрудниках, поступившие в распоряжение администрации организации, являются персональными данными в соответствии с законодательством.
Что это за сведения? Это информация из документов работника, предъявляемых им работодателю, при заключении трудового договора. Напомним, что при приеме на работу будущий сотрудник предъявляет ряд документов, подчиняясь требованиям Трудового кодекса. К ним, в частности, относится (ст. 65 ТК РФ):
- паспорт (другой документ, удостоверяющий личность);
- трудовая книжка (если данное место работы для сотрудника не первое);
- пенсионное свидетельство (при его наличии);
- документы об образовании, например, диплом ВУЗа (если работа требует определенной квалификации и знаний).
Подробнее об этом см. «Документы, требуемые при трудоустройстве сотрудника».
Важно понимать, что защита персональных данных работника включает в себя охрану не только сведений, предоставленных сотрудником, но и информацию, образовавшуюся в ходе его работы в организации. В частности, к ней относится информация о размере его заработка (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681). Отметим, что занимается защитой персональных данных Роскомнадзор – государственный орган, контролирующий данную сферу.
Конкретные действия
Начать мероприятия по охране персданных следует с разработки и утверждения специального Положения о работе с персональной информацией сотрудников. После утверждения локального акта руководителем предприятия с документом нужно ознакомить работников (ст. 8, п. 8 ч. 1 ст. 86, ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).
Подробнее об этом см. «Образец Положения о работе с персональными данными работников 2019».
Следующий этап пошаговой инструкции о защите персональных данных в организации – назначение ответственного сотрудника. Обычно кандидатуру выбирают из сотрудников отдела кадров, подразделения, которое чаще других использует персональные сведения работников.
Подходящего работника, способного исполнять данную функцию, назначают приказом директора (ч. 5 ст. 88 ТК РФ). Назначив ответственного, понятно, куда обращаться за защитой персональных данных. Этот работник не только отвечает за сохранность персинформации работников, но и несет за это ответственность, вплоть до уголовной.
Конечно, конкретные меры по обеспечению сохранности данных персонала предусмотрены Законом № 152-ФЗ (ст. 19 Закона). Используя их в качестве шаблона, можно разработать свою систему безопасности приватной информации.
При ее разработке нужно обратить внимание на обработку персинформации. Именно в ходе отдельных этапов возможна утрата и разглашение сведений. К ним относится (п. 6 требований, утв. постановлением Правительства от 01.11.2012 № 1119):
- внесение изменений;
- копирование;
- уничтожение;
- распространение и т.д.
В зависимости от вида угрозы, которой может подвергаться информация, выбирают конкретные средства для защиты персональных данных. В образовательной организации свои риски разглашения сведений, на промышленном предприятии – другие. Для выбора необходимо руководствоваться нормативными актами ФСБ и ФСТЭК (п. 4, 7 требований, утв. постановлением Правительства от 01.11.2012 № 1119).
Также уровень защищенности подбирают в зависимости от категории охраняемых данных и количества сотрудников. Законодательством установлены 4 уровня защиты, в соответствии с которыми принимаются соответствующие меры защиты систем обработки персональных персданных (п. 13-16 требований, утв. постановлением Правительства от 01.11.2012 № 1119). К ним, например, относятся (приказ ФСТЭК от 18.02.2013 № 21):
- обеспечение безопасности помещений, где хранятся данные;
- назначение ответственных лиц и т.д.