К персональным данным работников относится не только информация, которая создается в ходе рабочего процесса, но и любые иные сведения, касающиеся личной жизни как самого сотрудника, так и его семьи.
Законодательство четко определяет понятие персональных данных. Регулирование и контроль в этой области важны и для работодателя, и для сотрудника фирмы.
Самые лучшие работники - предприимчивые сотрудники. Их переполняют новые идеи, они готовы много работать и брать на себя ответственность. Но они же и самые опасные - рано или поздно решают работать на себя. В лучшем случае просто уйдут и создадут свое дело, в худшем - прихватят вашу информацию, пул клиентов и станут конкурентами.
Если Вы уже являетесь подписчиком журнала «Генеральный Директор», читайте статью
Персональные данные в соответствии со статьей 3 Федерального закона от 27.07.2006 №152 «О персональных данных» представляют собой сведения, которые имеют отношение к определенному или определяемому на базе таких сведений гражданину, в том числе его:
Этот закон содержит объемный список данных, которые имеют отношение к персональным данным гражданина.
Но, например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу. В связи с этим Трудовой кодекс РФ и более точно дает определение персональных данных сотрудника.
Например, согласно статье 85 Трудового кодекса Российской Федерации персональные данные работника — это сведения, которые нужны работодателю для того, чтобы сформировать трудовые отношения с сотрудником его компании. Иными словами, это та информация, которая дает характеристику гражданину как работнику.
Часто возникают ситуации, в ходе которых работодатель нарушает право сотрудников на сохранение конфиденциальности их персональных данных. Одновременно с этим законодательство устанавливает серьезные меры ответственности за игнорирование норм хранения и передачи персональных данных работников.
Обычно процессом сбора и использования персональных данных сотрудников в компании занимаются специалисты отдела кадров и . В трудовом договоре с работниками, которые проводят обработку персональных данных, должны быть указаны обязательства о неразглашении.
Каких-то показателей, как и точного списка персональных данных сотрудника, Трудовой кодекс Российской Федерации не содержит. Обычно это сведения, требующиеся для формирования трудового договора, составления личной карточки сотрудника, перевода на другую должность компании и т.д.
При выяснении объема и содержания требующихся персональных данных сотрудника директор компании должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и другими федеральными законами. В ходе рабочего процесса руководитель организации использует документы двух видов.
1. Документы, предъявляемые при заключении трудового договора:
Эти виды документов предоставляют следующую информацию о сотруднике: фотографию, полное имя, фамилию и, если есть, отчество, дату и место рождения сотрудника, семейное положение, наличие детей, отношение к воинской службе, гражданство, город и место, в котором было получено образование, профессию сотрудника.
2. Документы, создаваемые работодателем
Документацию данной группы создаются работодателем. Трудовая книжка сотрудника может быть причислена к любой группе. Это зависит от того, была ли она у работника до того момента, как он пришел устраиваться на работу в данную организацию. На законодательном уровне она именуется как «первичная учетная документация по учету труда и его оплаты».
К подзаконным актам относят распоряжения о:
Также к ним относятся:
Помимо данных, которые дублируют информацию из первой группы документации, эти акты включают в себя сведения об общем и непрерывающемся трудовом стаже сотрудника, о датах приема на должность в компанию и о датах перевода на другую должность или в другое подразделение организации, о прохождении аттестации и ее результатах, о прохождении курсов повышения квалификации, о премировании работников, о видах и сроках отпусков, о социальных льготах, правом на которые обладает сотрудник.
Список документов, из которых работодатель может узнать персональные данные сотрудника, находится в свободном доступе. Помимо этого, в зависимости от особенностей ситуации сведения могут быть озвучены работникам в устной форме или прописаны в разнообразных анкетах. Основная часть бумаг, в которых указаны персональные данные сотрудника, находится в его личном деле.
Так как персональные данные работника являются сведениями, с которыми необходимо в дальнейшем совершать действия (например, сотрудникам в отделе кадров), на законодательном уровне внедрено такое понятие, как «обработка персональных данных», которое устанавливает определенные условия при работе с ними.
При работе с персональными данными необходимо соблюдать нормы, установленные российским законодательством. При работе с документацией, базами данных нужен грамотный, четкий и системный подход. Все должно быть разложено по полочкам, храниться в положенном месте и в течение определенного срока. Залогом успеха организации такой работы будут аккуратность ответственного сотрудника, а также четкие указания руководителя. В процессе обработки массива данных используют математические и компьютерные модели, статистические методы, которые помогают анализировать информацию в случае необходимости и приходить к определенным выводам.
Согласие на обработку персональных данных работника может быть отозвано их субъектом. Однако в случаях, установленных Законом № 152‑ФЗ, обработка может осуществляться и без согласия работника.
Статья 86 Трудового кодекса Российской Федерации определяет следующие требования к использованию персональных данных сотрудника, предъявляемые к предпринимателю (логично, что и к сотруднику отдела кадров) и нацеленные в первую очередь на сохранение конфиденциальности персональных данных.
В соответствии со статьей 87 Трудового кодекса Российской Федерации директор компании обязан утвердить порядок хранения и обработки персональных данных сотрудников. Данные правила могут быть закреплены в локальной нормативной документации о персональных данных работников. При этом эти нормы должны соответствовать требованиям, установленным Трудовым кодексом Российской Федерации и прочими федеральными законами.
Кроме того, при составлении документации нужно ориентироваться на примерные формы из открытых источников. Например, для разработки положения о персональных данных работников существует образец.
Ключевая документация, которая содержит персональные данные сотрудника, обычно формирует его личное дело.
Правила формирования и хранения личного дела разрабатываются работодателем. К этому процессу необходимо подходить серьезно и ответственно. Временной период хранения документации, которая содержит персональные данные сотрудника, устанавливается в соответствии с Перечнем типовых управленческих документов, формирующихся в ходе трудовой деятельности компании (утв. Федеральной архивной службой России 06.10.2000 г., в ред. Решения от 27.11.2003 г.).
Например, личные дела директоров компании, руководителей различных структурных подразделений, сотрудников, которые обладают государственными и прочими званиями, наградами, ученой степенью, сохраняются постоянно. Личные дела иных сотрудников хранятся в течение 75 лет.
Основным документом о трудовой деятельности и трудовом стаже сотрудника, который содержит и персональные данные работника, является трудовая книжка. Порядок ее ведения строго регулируется и контролируется. Грамотность, четкость и ответственность в этом вопросе важны как для работодателя, так и для сотрудников компании.
Условия хранения трудовых книжек определяются Правилами ведения и хранения трудовых книжек, выпуска бланков трудовой книжки и обеспечения ими работодателей, утвержденными Постановлением Правительства Российской Федерации от 16.04.2003 г. № 225. Сохранность документации является важнейшим фактором, когда речь идет о трудовом законодательстве РФ. В соответствии с пунктом 45 Правил ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на директора компании. Для этого распоряжением руководителя организации создается специальная должность.
Например, лицом, ответственным за хранение персональных данных и трудовых книжек, может быть сотрудник, управляющий отделом кадров. Действуют такие работники только в границах их должностных обязанностей. В реальности организовывать это хранение сложно, так как большой объем персональных данных скапливается в одном месте и сохраняется централизованно. Навести порядок в процессе передачи персональных данных поможет локальная нормативная документация, в которой можно зафиксировать, кто конкретно из управляющих и иных сотрудников и в какой степени, опираясь на их компетенции, обладает доступом к персональным данным работников.
Постановлением Федеральной службы государственной статистики от 05.01.2004 г. № 1 утверждены единые формы первичной учетной документации по учету труда и его оплаты. Согласно нему работодатель гарантирует сохранность данной документации.
Согласно распоряжению Правительства Российской Федерации от 21.03.1994 г. № 358-р подразумевается, что для сохранения документации по личному составу увольняемых сотрудников в итоге изменения, реорганизации и ликвидации организации, а также социальной защищенности работников, исполняющих трудовые обязанности по договору найма, владельцам вновь появляющихся коммерческих / некоммерческих компаний рекомендовано внести в свою учредительную документацию порядок учета и сохранности персональных данных личного состава, а также своевременного отправления их на государственное хранение в той ситуации, если компания была реорганизована или ликвидирована.
Так как обязанность по сохранению конфиденциальности персональных данных работников Трудовой кодекс Российской Федерации возлагает на директора компании, то для реализации такой защиты нужно осуществить ряд действий по формированию необходимых технических условий (например, особый вход в те помещения, где находятся персональные данные работников, оборудование пространства для хранения этих сведений, меры, нацеленные на сохранение конфиденциальности персональных данных работников от незапланированного уничтожения, потери, корректировки или их распространения третьими лицами).
Одним из видов использования персональных данных работника является пересылка их как внутри компании, так и за ее границы. Требования к передаче персональных данных работника зафиксированы в статье 88 Трудового кодекса Российской Федерации.
При передаче персональных данных работника запрещается сообщать их без его согласия:
Персональные данные сотрудников собираются для внутреннего сведения и реализации нормальной трудовой деятельности компании, без согласия сотрудника не допускается их обнародование третьей стороне как в письменной форме, так и в устной.
Исключением из данного правила могут быть ситуации, когда это требуется для предупреждения угрозы жизни и здоровья сотрудника, а также в других ситуациях, которые зафиксированы в Трудовом кодексе. Например, согласно статье 228 Трудового кодекса Российской Федерации при несчастном случае на производстве директор компании в обязательном порядке должен сообщить о случившемся в ряд государственных органов.
Необходимо предупредить лиц, получающих персональные данные работника, о том, что они могут быть использованы только в целях, для которых были сообщены.
Руководитель имеет право требовать подтверждение того, что это условие соблюдается. Сотрудники, которым предоставлен свободный доступ к базе персональных данных иных работников, должны строго соблюдать конфиденциальность этих сведений. Это условие не имеет отношения к ситуациям передачи персональных данных в порядке, зафиксированном в ФЗ. Например, в соответствии со статьей 6 ФЗ от 12.08.1995 г. № 144 «Об оперативно-розыскной деятельности» при проведении данного вида мероприятия осуществляются следующие процедуры: опрос, запросы по данным участников, анализирование документации и личных вещей, снятие данных с технических каналов и т.д.
Передача персональных данных в пределах одной организации или у одного индивидуального предпринимателя должна осуществляться в соответствии с локальным нормативным актом, с которым сотрудники обязаны быть ознакомлены под роспись.
Нововведением Трудового кодекса Российской Федерации является то, что на сегодняшний день руководитель компании в обязательном порядке должен осуществлять передачу персональных данных работников в соответствии с локальной документацией и под роспись сотрудников.
Доступ к персональным данным работника разрешается только специально уполномоченным лицам. В данной ситуации специально уполномоченные сотрудники имеют право получать только те персональные данные, которые требуются им для исполнения конкретных должностных обязанностей. Таким образом, документация или сведения, которые содержат персональные данные, могут быть частично открыты для других работников (например, для управляющих отделов компании только в границах их должностных обязанностей). В реальности осуществить это сложно, так как большой объем персональных данных скапливается в одном месте и сохраняется централизованно. Навести порядок в процессе передачи персональных данных поможет локальная нормативная документация, в которой можно зафиксировать то, кто конкретно из управляющих и иных сотрудников и в какой степени, опираясь на их компетенции, обладает доступом к персональным данным работников.
Запрещается запрашивать информацию о состоянии здоровья работника, помимо тех данных, которые имеют отношение к процессу исполнения сотрудником его должностных обязанностей.
Запрос таких сведений имеет место быть в той ситуации, когда существует необходимость принять решение о переводе беременной сотрудницы на другую должность, которая исключит влияние неблагоприятных факторов согласно статье 254 Трудового кодекса Российской Федерации.
Передача персональных данных представителям работников допускается лишь в объеме, необходимом для выполнения ими указанных функций.
Таким образом, при расторжении трудового договора по решению руководителя компании на базе пунктов 2,3,5 части 1 статьи 81 Трудового кодекса Российской Федерации с сотрудником — членом профсоюзной организации руководитель компании отправляет профсоюзу копии тех документов, которые служат основанием для увольнения работника с занимаемой должности, и проект приказа согласно статье 373 Трудового кодекса Российской Федерации.
Особенно остро вопрос защиты персональных данных работника встал в 2016 году в связи с объективными процессами в государственной системе. Сохранение конфиденциальности персональных данных сотрудника можно рассматривать в ряде аспектов.
Во-первых, это гарантии, закрепленные в трудовом праве, которое является суммой всех существующих правил, регулирующих отношения в вопросе персональных данных работника.
Во-вторых, это система мероприятий организационно-правового характера, ориентированных на осуществление положений законодательства и отображающих политику руководителя компании в данной отрасли.
В-третьих, это обеспечение субъективного права работника на сохранение конфиденциальности своих персональных данных.
Отношения информационного типа складываются как между сотрудником и предпринимателем, так и между каждым из них и третьей стороной. Отношения, образовавшиеся между руководителем компании и работником, являются главными информационными связями. Поэтому их урегулированию в трудовом законодательстве отдается преимущество. Сотрудник не только в обязательном порядке должен предоставить свои персональные данные, но и обладает правом узнать достоверные сведения об условиях труда и о требованиях охраны труда на рабочем месте согласно статье 21 Трудового кодекса Российской Федерации.
В статье 210 ТК РФ зафиксировано определение «единая информационная система охраны труда». Получение от руководителя компании данных по вопросам, напрямую затрагивающим интересы сотрудников, является одной из ключевых форм участия работников в руководстве компании согласно статье 53 Трудового кодекса РФ. Работодатель должен обнародовать полную и правдивую информацию для сотрудников, необходимую для формирования коллективного договора, соглашения и контроля над его реализацией, согласно статье 22 Трудового кодекса Российской Федерации.
Специальные правила российского кодифицированного закона о труде регулируют отношения по поводу сохранения конфиденциальности персональных данных работников.
Персональные данные человека согласно действующей нормативной документации относятся к данным конфиденциального характера. В связи с этим положения Трудового кодекса Российской Федерации об охраняемой на уровне закона тайне также имеют отношение к персональным данным работника.
Деятельность руководителя компании в отношении персональных данных сотрудников регулируется императивными нормами, что объясняется публичной составляющей сферы трудового права в общем и института сохранности персональных данных сотрудника в частности.
Право на сохранение конфиденциальности персональных данных имеет абсолютный характер. Им обладает каждый сотрудник компании независимо от того, какой вклад он внес в развитие организации. В соответствии с пунктом 9 статьи 86 Трудового кодекса РФ работник не обязан отказываться от своего права на неразглашение его персональных данных.
Свое право на сохранение конфиденциальности персональных данных сотрудник может осуществлять:
Исходя из статей 8 и 22 Трудового кодекса России предприниматель имеет право создавать в границах своей компетенции местную нормативную документацию, которая будет предусматривать процедуру сохранения и дальнейшего использования персональных данных работника.
Локальная документация компании о персональных данных сотрудника может быть сформирована в виде положения и должностной инструкции. Обычно ее созданием занимается отдел кадров. Конкретных требований к структуре и внутреннему содержанию данной документации действующие законы не содержат, но по всеобщей сути она обязана поддерживать порядок использования персональных данных сотрудников, а также определять права, обязанности сотрудника и директора компании, ответственность за несоблюдение принятых норм.
Примерная структура положения о персональных данных
Общие положения:
Порядок хранения, использования и передачи персональных данных:
Обязанности работодателя по хранению и защите персональных данных работников:
Права работников на защиту персональных данных:
Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
Список должностных лиц, которые обладают свободным доступом к персональным данным работников компании, необходимо прописать в качестве дополнения к положению о персональных данных.
Разработка локального нормативного акта о персональных данных работников является обязанностью работодателя, игнорирование которой может привести к наложению административной ответственности по статье 5.27 КоАП Российской Федерации в виде штрафных санкций:
Эта статья посвящена различного рода сервисам автоматической генерации комплекта внутренних документов организации по защите персональных данных на основе некоторой вводимой пользователем информации. Скажу честно, изначально это был гневный пост. Раздражение вызвала полученная по личным каналам информация о том, что представители одного из таких сервисов заходят к главным врачам лечебных учреждений города, в котором я проживаю, и пугают прокуратурой и наказанием за нарушение закона «О персональных данных» в случае отказа от подписки на такой сервис. Но вмешался случай - в процессе написания статьи возникли неотложные дела. И вся готовая на тот момент писанина была отправлена в черновики на неделю. За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.
На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных - 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц - 10 тысяч рублей. Тут, видимо, речь идет о законопроекте № 683952-6, который предусматривает расширение статьи 13.11 КоАП и действительно увеличивает максимальный штраф до 300 000 рублей, но законопроект как прошел первое чтение осенью прошлого года, так и подвис. И будет ли принят окончательно - неизвестно. Вывод: авторы сайта либо не в курсе ситуации, либо намеренно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже не есть хорошо.
Второй пример: другой сервис торжественно обещает успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных с их документами. Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку. Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки. В-третьих, я о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.
Честно говоря, в свое время сам написал на Java подобный «заполнятор» шаблонов, но в работе как-то не прижилось, максимум что можно сделать это автоматом вписать название организации и прочие часто повторяющиеся вещи в документах. И вот почему - если цель стоит написать качественную документацию, то ее придется писать руками с учетом всех особенностей как бизнес-процессов организации, так и особенностей IT-платформы, на которой построена информационная система персональных данных. У меня на работе, как правило, именно такая задача, а кому нужно «отмазаться от проверки» мы даем приведенный ниже комплект шаблонов. Бесплатно. Но здесь нужно помнить, что регуляторы тоже не стоят на месте и пройти проверку с набором шаблонных, не адаптированных документов семилетней давности становится все сложнее и сложнее.
Поясню, почему при разработке полноценного и полезного комплекта документов «заполняторы» шаблонов не помогут. Возьмем, например, важный и полезный документ «Инструкция администратора безопасности». Конечно, когда документ делается для галочки, в нем пишется много воды и совсем немного конкретики. В случае, если мы делаем полноценный документ, нам необходимо описать все обязанности и действия администратора безопасности в зависимости от условий функционирования информационной системы персональных данных. И тут оказывается, что на содержание документа влияет огромное количество факторов:
Используется ли виртуализация?
- используются мобильные средства?
- резервное копирование, какими средствами оно производится, с какой периодичностью, где хранятся резервные копии?
- и т.д. и т.п.
Конечно, можно попробовать все это учесть и в шаблоне, но тогда пользователям сервисов придется собирать и вводить огромное количество количество данных, что противоречит принципу «просто и легко, только платите деньги».
Все что может сносно сделать «заполнятор» шаблонов это различные приказы о назначении ответственных лиц или каких-либо комиссий. Как только начинаются вопросы, связанные с бизнес-процессами или особенностями IT-инфраструктуры, начинаются проблемы.
Пример. Обычно в информационной системе назначается два ответственных по защите персональных данных - ответственный за организацию персональных данных (больше по орг вопросам) и администратор безопасности информации (по техническим вопросам - настройка средств защиты и т.д.). Соответственно сокращаются эти роли обычно как - «Ответственный» и «Администратор». Так вот, один из сервисов обозвал этих двух друзей как «ответственный за организацию обработки персональных данных» и «ответственный за обеспечение безопасности персональных данных», сократили их, как вы уже наверное догадались как «Ответственный» и (внезапно!) «Ответственный». В приказе о назначении этих ответственных никакого подвоха не чувствуется, жесть начинается, когда авторы документов начинают описывать взаимодействие этих двух разных людей, получается что-то типа «Ответственный на Ответственном и Ответственным погоняет».
"Кадровый вопрос", 2012, N 7
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В КАДРОВОЙ СЛУЖБЕ
В соответствии с требованиями гл. 14 Трудового кодекса и Федерального закона "О персональных данных" (от 27 июля 2006 г. N 152-ФЗ) процесс защиты персональных данных в кадровой службе организации должен быть строго регламентирован. Следует учитывать, что именно регламентация организационных форм и технологии документирования, обработки персональных данных и их неукоснительное соблюдение всеми руководителями и сотрудниками лежат в основе обеспечения надежной защиты персональных данных и, следовательно, обеспечения реальных прав и свобод граждан в трудовой сфере.
При работе с документами, делами и базами данных кадровой службы должны соблюдаться следующие основополагающие принципы защиты персональных данных:
Личной ответственности руководства организации и работников кадровой службы за сохранность и конфиденциальность персональных данных, а также носителей этой информации;
Разбиения (дробления) знания персональных данных между разными руководителями организации и работниками кадровой службы;
Наличия четкой разрешительной (разграничительной) системы доступа руководителей всех уровней и работников к документам, содержащим персональные данные;
Проведения регулярных проверок наличия традиционных и электронных документов, дел и баз в кадровой службе и кадровых документов в подразделениях организации.
Порядок работы с кадровой документацией должен в полном объеме соответствовать требованиям обращения с конфиденциальными документами и персональными данными.
Главным моментом в защите персональных данных является четкая регламентация функций работников кадровой службы и в соответствии с этим регламентация принадлежности работникам функциональных комплексов документов, дел, карточек, журналов персонального учета и баз данных. Любые посторонние лица не должны знать рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в кадровой службе, особенно это касается бланков и документов строгой отчетности.
Под посторонним лицом понимаются не только злоумышленники или их сообщники, но и сотрудники организации, функциональные обязанности которых не связаны с работой кадровой службы. Однако каждый работник должен быть письменно информирован о предполагаемых фактах использования его персональных данных при документировании функций кадровой службы, ведении отчетной и отчетно-справочной работы службы. Работник имеет право не разрешить использовать свои персональные данные.
Для реализации положения о личной ответственности работников кадровой службы за доверенные им персональные данные и документы руководителем организации должен быть издан приказ о закреплении за каждым работником этой службы определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях, утверждена схема доступа работников службы и руководящего состава организации, структурных подразделений к кадровым документам, установлены формы ответственности перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных.
Не допускается, чтобы работник кадровой службы мог знакомиться с любыми хранимыми документами и материалами службы. Целесообразно, чтобы отдельные работники закреплялись за должностными группами персонала организации и выполняли весь объем функций от подбора персонала до хранения документации. В случае необходимости перераспределения обязанностей среди работников службы (например, при болезни одного из них, увольнении) должно быть издано соответствующее распоряжение руководителя службы, в котором регламентируются характер изменений, их срок и дополнения в систему доступа к документам, делам и базам данных.
При работе с кадровой документацией следует, прежде всего, соблюдать следующие специфические особенности ее обработки и хранения.
Приказы (распоряжения) по личному составу должны составляться, оформляться и храниться в кадровой службе, а не в бухгалтерии или службе ДОУ. Эту работу следует возложить на конкретного сотрудника кадровой службы или нескольких сотрудников, например, в крупных организациях каждый сотрудник может заниматься приказами по категориям персонала - руководителям, специалистам, рабочим и т. д. Регистрация этих приказов также должна быть передана в кадровую службу.
Материалы, связанные с анкетированием, тестированием, проведением собеседований с кандидатами на должность, целесообразно помещать не в личное дело сотрудника, а в специальное дело, имеющее гриф "Строго конфиденциально". Объясняется это тем, что подобные материалы раскрывают личные и моральные качества сотрудника и могут при разглашении содержащихся в них сведений стать полезными злоумышленнику. Материалы с результатами тестирования работающих сотрудников, материалы их аттестаций формируются в самостоятельное дело, также имеющее гриф строгой конфиденциальности.
Особое внимание обращается на сохранность документов личных дел работников. Операции по оформлению, формированию, ведению, закрытию и хранению личных дел должны выполняться одним работником кадровой службы, который несет личную ответственность за сохранность документов в делах и имеет регламентированный доступ к делам других работников.
В случае правомочного изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью руководителя и работника кадровой службы. Замена документов в личном деле кем бы то ни было запрещается. Новые, исправленные документы помещаются вместе с ранее включенными в дело.
Приказом руководителя организации должен быть установлен порядок ознакомления или выдачи руководящему составу организации личных дел подчиненных работников. Как правило, знакомиться с личными делами могут: руководитель организации - со всеми личными делами, его заместители - с личными делами курируемых ими подразделений, руководители структурных подразделений - с личными делами сотрудников подразделения.
Выдача личных дел на рабочие места руководителей, как правило, не допускается. На рабочие места личные дела могут выдаваться только первому руководителю, его заместителю по кадрам и в исключительных случаях по письменному разрешению конкретному руководителю структурного подразделения. Дела выдаются (в том числе руководителю кадровой службы или при наличии его письменного разрешения - работнику службы) под отметку в контрольной карточке. В конце рабочего дня все дела должны быть возвращены ответственному за их хранение сотруднику кадровой службы.
Руководители структурных подразделений организации с разрешения руководителя кадровой службы могут знакомиться с личными делами (или при отсутствии личных дел - с карточками формы N Т-2) только непосредственно подчиненных им сотрудников; к справочно-информационному банку данных и другой документации кадровой службы они не допускаются. Ознакомление с делами должно осуществляться в помещении службы под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется в контрольной карточке личного дела.
Работник организации имеет право знакомиться только со своим личным делом, трудовой книжкой, учетными карточками. Он имеет право потребовать внесения изменений и дополнений в свои анкетно-биографические и другие данные, подтвержденные документами. Факт ознакомления работника с личным делом также фиксируется в контрольной карточке.
О. Иванов
Подписано в печать
Статья 1 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» устанавливает, что персональные данные - это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). Оператором может быть в том числе юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
организующее и (или) осуществляющее обработку персональных данных;
определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Статья 85 ТК РФ говорит о том, что персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Согласно статье 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования.
Требование № 1: обработка персональных данных работника может осуществляться исключительно в целях обеспе-чения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Требование № 2: при определении объёма и содержания обрабатываемых персональных данных работника рабо-тодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
Требование № 3: все персональные данные работника следует получать у него самого. Если персональные данные ра-ботника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источ-никах и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Требование № 4: работодатель не имеет права получать и обрабатывать персональные данные работника о его по-литических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Требование № 5: работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.
Требование № 6: при принятии решений, затрагивающих интересы работника, работодатель не имеет права ос-новываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Требование № 7: защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном ТК РФ и иными федеральными законами.
Требование № 8: работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Работники не должны отказываться от своих прав на сохранение и защиту тайны.
Статья 88 ТК РФ устанавливает следующие требования при передаче персональных данных работника:
запрещено сообщать персональные данные работника третьей стороне без письменного согласия работника. Исключе-ние составляют случаи, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в дру-гих случаях, предусмотренных ТК РФ или иными федеральными законами;
запрещено сообщать персональные данные работника в коммерческих целях без его письменного согласия;
следует предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть ис-пользованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (кон-фиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
передача персональных данных работника осуществляется в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
доступ к персональным данным работников разрешается лишь специально уполномоченным лицам. Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Таким образом, доступ к персональным данным работников может быть разрешён только специально уполномоченным лицам, которые к тому же имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
В частности, следует разработать ряд локальных документов, которые регулируют работу с получаемыми персональны-ми данными и ответственность лиц, их получающих. Например:
положение о персональных данных;
приказы об утверждении списков лиц, имеющих доступ к персональным данным работников;
обязательства о неразглашении персональных данных лицами, имеющими доступ к персональным данным;
порядок хранения персональных данных.
Работники, которые получают доступ к персональным данным для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под роспись.
Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должност-ной инструкции каждого сотрудника, получившего доступ к персональных данным для выполнения своих служебных обязанностей.
В идеале сотрудники, осуществляющие операции с персональными данными, должны находиться отдельно от других сотрудников. В любом случае их рабочие места (или место) должны быть оборудованы сейфами для хранения соответствующих документов.
Приведём несколько примеров соответствующих документов.
Образец приказа о назначении ответственного за организацию обработки персональных данных:
Общество с ограниченной ответственностью «Работодатель»
Приказ от 20.03.13 № 55
Во исполнение положений Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
Назначить ответственным за организацию обработки персональных данных в организации начальника отдела персонала (Ф. И. О.). Дата, подпись.
Образец положения о персональных данных:
Во исполнение требований главы 14 ТК РФ, Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», а также в целях приведения локальных нормативных актов ООО «Работодатель» в соответствие с действующим законодательством РФ
ПРИКАЗЫВАЮ:
1. Ввести в действие с 20.05.13 Положение о персональных данных работников ООО «Работодатель» (далее - Положение).
2. Начальнику отдела персонала (Ф. И.О.) в срок до 29.05.13 довести Положение до сведения всех сотрудников организации под
роспись.
3. В срок до 03.06.13 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО «Работодатель» (по форме Приложения № 1 к Положению).
4. Местом хранения Положения определить кабинет отдела персонала.
5. Контроль исполнения данного приказа оставляю за (должность, Ф. И. О.).
Должность, дата, подпись
С приказом ознакомлены: Должность, подпись, расшифровка
Общество с ограниченной ответственностью «Работодатель» (ООО «Работодатель»)
УТВЕРЖДАЮ
Генеральный директор ООО «Работодатель»
ПОЛОЖЕНИЕ
о персональных данных работников ООО «Работодатель»
1. Общие положения
1.1. Положение о персональных данных работников ООО «Работодатель» (далее - Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.06 № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами.
1.2. Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО «Работодатель» (далее - Общество).
1.3. Персональные данные работника - любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).
1.4. При определении объёма и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
2. Получение персональных данных
2.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлён об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
2.2. При поступлении на работу претендент заполняет анкету, в которой указывает следующие сведения о себе:
Ф.И.О.;
- пол;
- дату рождения;
- семейное положение;
- наличие детей, их даты рождения;
- воинскую обязанность;
- место жительства и контактный телефон;
- образование, специальность;
- стаж работы по специальности;
- предыдущее(ие) место(а) работы;
- факт прохождения курсов повышения квалификации;
- наличие грамот, благодарностей.
2.3. Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.
2.4. При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со статьёй 65 ТК РФ.
2.5. Работодатель имеет право проверять достоверность сведений, предоставляемых работником. По мере необходимости работодатель может истребовать у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.
2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму № Т-2 «Личная карточка работника» и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел (должность).
2.7. Личное дело работника состоит из следующих документов:
Трудовой договор;
- личная карточка формы № Т-2;
- копия трудовой книжки;
- характеристики, рекомендательные письма;
- паспорт (копия);
- документ об образовании (копия);
- военный билет (копия);
- свидетельство о регистрации в налоговом органе (ИНН) (копия);
- пенсионное свидетельство (копия);
- свидетельство о заключении брака (копия);
- свидетельство о рождении детей (копия);
- копия документа о праве на льготы (удостоверение почётного донора, медицинское заключение о признании лица инвалидом, др.);
- результаты медицинского обследования (в случаях, установленных законодательством);
- документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).
2.8. Документы, поступающие в личное дело, хранятся в хронологическом порядке.
3. Хранение персональных данных
3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам. Личные дела находятся
в отделе кадров в специально отведённом шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфа-
витном порядке.
3.2. Личные дела регистрируются в журнале учёта личных дел, который ведётся в электронном виде и на бумажном носителе.
3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.
3.4. В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:
Трудовые книжки;
- подлинники и копии приказов (распоряжений) по кадрам;
- приказы по личному составу;
- материалы аттестаций и повышения квалификаций работников;
- материалы внутренних расследований (акты, докладные, протоколы и др.);
- копии отчётов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- другие.
3.5. Персональные данные работников также хранятся в электронном виде в локальной компьютерной сети. Доступ к электронным
базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей. Пароли устанавлива-
ет системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным
работников. Пароли изменяются не реже одного раза в два месяца.
3.6. Кабинет отдела кадров оборудуется (указать, чем, например охранной системой и камерой видеонаблюдения).
3.7. Заместитель генерального директора - директор по персоналу осуществляет общий контроль соблюдения работниками мер по
защите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числе
с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.
4. Доступ к персональным данным
4.1. Доступ к персональным данным работников имеют:
- учредители Общества;
- генеральный директор;
- заместитель генерального директора;
- финансовый директор;
- директор по персоналу;
- главный бухгалтер;
- юрист;
- начальник отдела безопасности;
- руководители структурных подразделений (только к данным работников своего подразделения);
- специалисты отдела по работе с персоналом и бухгалтерии - к тем данным, которые необходимы им для выполнения конкретных функций.
4.2. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.
4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.
5. Обработка персональных данных работников
5.1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (п. 1 ст. 10 закона № 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.2. Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
5.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нём исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счёт его средств в порядке, установленном федеральным законом.
5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
5.7. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных.
6. Права и обязанности работника в области защиты его персональных данных
6.1. Работник обязуется предоставлять персональные данные, соответствующие действительности.
6.2. Работник имеет право на:
Полную информацию о своих персональных данных и обработке этих данных;
- свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Передача персональных данных
7.1. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
7.2. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.
7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении таких данных.
7.4. Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.
7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
8. Ответственность
8.1. Разглашение персональных данных работника Общества, то есть:
- передача посторонним лицам, не имеющим к ним доступа;
- публичное раскрытие;
- утрата документов и иных носителей, содержащих персональные данные работника;
- иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, -
лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания (выговора, увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ).
8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несёт полную материальную ответственность в соответствии с пунктом 7 части 1 статьи 243 ТК РФ.
8.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несёт уголовную ответственность на основании статьи 188 УК РФ.
8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несёт административную ответственность по статьям 5.27, 5.39 КоАП РФ, а также возмещает работнику ущерб, причинённый неправомерным использованием информации, содержащей персональные данные об этом работнике.
С этим Положением следует ознакомить всех сотрудников организации. При приёме на работу нового сотрудника его надо ознакомить с данным документом до подписания трудового договора (ст. 68 ТК РФ). Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.
Образец обязательства о неразглашении персональных данных:
Обязательство о неразглашении персональных данных работников ООО «Работодатель»
Я, (Ф. И. О., должность), с Положением о персональных данных работников ООО «Работодатель» ознакомлен(а). Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей. Об ответственности за разглашение персональных сведений работников предупреждён(а).
Дата, подпись
Если возникает необходимость передачи персональных данных третьим лицам, необходимо получить согласие по следующей форме:
Генеральному директору ООО «Работодатель»
от (Ф. И. О.),
зарегистрированного по адресу (указать), паспорт (серия, номер, кем и когда выдан)
Согласие на передачу персональных данных третьей стороне
Я, (Ф. И. О.), в соответствии с абзацем 1 части 1 статьи 88 ТК РФ настоящим даю согласие ООО «Работодатель» на предоставление в (указать, куда) следующих моих персональных данных:
- Ф. И. О., дата рождения;
- номер свидетельства государственного пенсионного страхования;
- размер заработной платы;
- размер начисленных и уплаченных страховых взносов.
Настоящее Согласие действительно в течение одного года с момента его получения. Дата, подпись
ВАЖНО:
Под обработкой персональных данных понимается любое действие (операция) или их совокупность, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в силу статьи 90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 13.11 КоАП РФ, 137 УК РФ).
Представляется необходимым утверждение специальной системы доступа работников отдела кадров, а также руководящего состава к персональным данным.
Также стоит предусмотреть в локальных актах персональную ответственность таких лиц за сохранение конфиденциальности персональных данных.
Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.
После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора и др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.
Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.
Николай СОЛИЧЕНКО, эксперт ООО "Smart Solution"
Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их - ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.
Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» - спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».
Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)
Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.
Причин несколько:
Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).
Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).
У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.
И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?
В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).
Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.
Для внесения изменений в уведомление на портале персональных данных также существует специальная форма . Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.
Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.
Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.
Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.
Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.
Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.
Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.
Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.
Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.
Но, все-таки, для примера приведу стандартный перечень документов, который обычно мы внедряем у своих клиентов:
Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.
Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно - чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.
Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.
Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.
Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.
Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.
Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:
На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.
