3. Не забудьте ознакомить работников с положением об оплате труда.
4.3. Положение о защите персональных данных
В законодательстве предъявляются особые требования к защите персональных данных работников. Согласно ст. 86 ТК РФ:
• обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов;
• все персональные данные работника следует получать у него самого. Если персональные данные работника можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
• работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации к специальным категориям персональных данных;
• работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности;
• работодатель должен ознакомить работников под роспись с локальными нормативными актами, устанавливающими порядок обработки персональных данных.
Следовательно, разработка локального нормативного акта, связанного с обработкой персональных данных, является обязательной.
В отношении каких персональных данных требуется особый порядок соблюдения требований законодательства?
К персональным данным относятся:
• фамилия, имя, отчество;
• пол, возраст;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
• деловые и иные личные качества, которые носят оценочный характер;
• прочие сведения, которые могут идентифицировать человека.
Вышеуказанные данные содержатся в следующих документах:
• резюме;
• анкете;
• паспорте;
• личной карточке № Т-2;
• приказах по личному составу;
• трудовом договоре;
• трудовой книжке;
• копиях свидетельств о заключении брака, рождении детей, документах об образовании, документах воинского учета;
• ИНН;
• СНИЛС;
• справке с предыдущего места работы;
• характеристике с предыдущего места работы.
Что будет, если не разработать положение о защите персональных данных?
В этом случае возникает ответственность на основании ст. 13.11 КоАП РФ.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:
• на граждан – от 300 до 500 руб.;
• на должностных лиц – от 500 до 1000 руб.;
• на юридических лиц – от 5000 до 10 000 руб.
Порядок разработки положения об охране персональных данных может быть следующим:
1. Определить виды персональных данных, которые будут обрабатываться или храниться в компании, установить, будут ли они обрабатываться только руководством или же будут передаваться третьим лицам, например аутсорсинговой компании.
2. Необходимо разработать согласие на обработку персональных данных.
3. Необходимо установить особенности обработки персональных данных в конкретной компании.
4. Направить разработанное положение на согласование с различными службами и отделами компании.
5. После согласования локальный акт подписывается директором или индивидуальным предпринимателем.
6. После подписания нужно ознакомить сотрудников с локальным актом.
Приведем фрагмент положения о защите персональных данных.
Пример
1.1. Работодатель имеет право обрабатывать и передавать персональные данные в соответствии с настоящим положением о защите персональных данных, доступных для внутреннего и внешнего доступа.
1.2. Внутренний доступ (доступ внутри организации):
– руководство предприятия;
– работники отдела кадров;
– руководители структурных подразделений по направлению деятельности (доступ к личным данным только работников своего подразделения);
– при переводе из одного структурного подразделения в другое доступ к персональным данным работника может иметь руководитель нового подразделения;
– работники бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций;
– сам работник, носитель данных.
1.3. Внешний доступ. Массовые потребители персональных данных вне организации – государственные и негосударственные функциональные структуры:
– налоговые инспекции;
– правоохранительные органы;
– органы статистики;
– страховые агентства;
– военкоматы;
– органы социального страхования;
– пенсионные фонды;
– подразделения муниципальных органов управления.
1.4. Другие организации. Сведения о работающем работнике или уже уволенном могут быть предоставлены другой организации только по письменному запросу на бланке организации с приложением копии заявления работника.
1.5. Работник обязан представить работодателю комплекс достоверных документированных персональных данных.
1.6. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
1.7. При передаче персональных данных работника специалисты, ответственные за получение и обработку персональных данных, должны соблюдать следующие требования:
– не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
– не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
– предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в цепях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность.
При разработке соглашения нужно учитывать следующее:
1. Приложением к положению об обработке персональных данных должна быть форма согласия на обработку персональных данных. Лучше всего в таком согласии сразу указать, что сотрудник согласен на передачу персональных данных третьим лицам.