Хранение и использование персональных данных.

1. Организация учета и хранения персональных данных

1.1. Оформление журналов учета персональных данных

1.2. Требования к помещению, где хранятся персональные данные

1.3. Защита персональных данных

1.3.1. Организация программной защиты персональных данных, содержащихся в информационной системе работодателя

2. Организация доступа работников к персональным данным других работников

3. Оформление обязательства о неразглашении персональных данных работниками, имеющими доступ к этим данным

4. Положение о персональных данных

4.1. Оформление Положения о персональных данных

4.2. Введение в действие Положения о персональных данных

4.3. Ознакомление с Положением о персональных данных

4.4. Изменение и дополнение персональных данных

4.4.1. Внесение изменений в трудовой договор при изменении персональных данных (смена фамилии и т.д.)

4.5. Срок хранения персональных данных

1. Организация учета и хранения персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Из данных норм следует, что работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.

Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников.

1.1. Оформление журналов учета персональных данных

Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то целесообразно вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.

В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.

1.2. Требования к помещению, где хранятся персональные данные

Исходя из требований п. 7 ст. 86 и ст. 87 ТК РФ на работодателя возложена обязанность по защите персональных данных работников. Защита персональных данных включает в себя установление особого режима доступа в те помещения, где хранятся такие данные, направленного на защиту последних от несанкционированных доступа, изменений или распространения.

Действующим законодательством не предусмотрено конкретных требований к оборудованию помещения, где должны храниться персональные данные. Однако исходя из требований Трудового кодекса РФ во избежание несанкционированного доступа к персональным данным работников следует оборудовать помещение, где хранятся такие данные, запирающимися шкафами для хранения информации на бумажных носителях. Работодатель должен установить в локальном нормативном акте требования к помещению, где хранятся персональные данные работников, и условия их хранения. Следует также учитывать, что персональные данные работника хранятся в документированной форме, характер которой определяется работодателем.

Перечень документов по учету труда и его оплаты установлен Постановлением Госкомстата РФ от 05.01.2004 N 1 " Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты". Работодатель должен обеспечивать сохранность такой документации в соответствии со сроками ее хранения (см. Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденного Приказом Минкультуры РФ от 25.08.2010 N 558).

1.3. Защита персональных данных

Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий безопасность информации в процессе управленческой и производственной деятельности компании.

Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:

- установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;

- установить особый порядок выдачи пропусков и удостоверений работников;

- использовать технические средства охраны;

- использовать программно-технический комплекс защиты информации на электронных носителях и пр.

Для обеспечения внутренней защиты персональных данных работников работодатель должен предпринять следующее:

- ограничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников;

- избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными;

- рационально размещать рабочие места для исключения бесконтрольного использования защищаемой информации;

- регулярно проверять знание работниками, имеющими отношение к работе с персональными данными, требований нормативно-методических документов по защите таких данных;

- создавать необходимые условия для работы с документами и базами данных, содержащими персональные данные работников;

- определять состав работников, имеющих право доступа (входа) в помещения, в которых хранятся персональные данные;

- организовать порядок уничтожения информации;

- своевременно выявлять и устранять нарушения установленных требований по защите персональных данных работников;

- проводить профилактическую работу с должностными лицами, имеющими доступ к персональным данным работников, по предупреждению разглашения таких сведений.

1.3.1. Организация программной защиты персональных данных, содержащихся в информационной системе работодателя

Большинство организаций используют электронные системы хранения и обработки персональных данных. Однако при этом следует учитывать требования действующего законодательства по обеспечению безопасности персональных данных при их электронной обработке и хранении. Постановлением Правительства РФ от 17.11.2007 N 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее - Положение).

Указанное Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих обрабатывать такие данные с использованием средств автоматизации. В соответствии с данным Положением работодателю необходимо соблюсти ряд требований при использовании такой системы обработки персональных данных.

Согласно ч. 2 п. 2 Положения безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в т.ч. шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

Соответственно, такие информационные системы должны предусматривать возможность ограничения доступа к информации (установление паролей и т.д.). В соответствии с п. 14 Положения лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующей информации на основании списка, утвержденного оператором или уполномоченным лицом. Исходя из содержания данного пункта работодателю необходимо издать приказ о допуске конкретных лиц к информационной системе, в которой происходит обработка персональных данных работников.

2. Организация доступа работников к персональным данным других работников

В соответствии со ст. 88 ТК РФ работодатель обязан не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.

Однако возникают случаи, когда отдельным работникам нужно получить информацию о персональных данных других работников, которые они намереваются использовать при выполнении трудовых обязанностей. Например, бухгалтеру могут понадобиться данные о работнике для начисления ему заработной платы или уплаты соответствующих взносов, при направлении работников в командировку секретарю (или иному лицу) понадобятся паспортные данные последних для покупки билетов, юрисконсульту организации данные работников могут понадобиться для оформления доверенностей и т.д. В соответствии со ст. 88 ТК РФ работодатель может разрешить доступ к персональным данным работников только специально уполномоченным лицам, при этом указанным лицам будут доступны только те данные, которые необходимы для выполнения конкретных функций. Например, доступ к персональным данным работников обычно устанавливается для руководителя организации, руководителей структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения), руководителю нового подразделения - при переводе сотрудника из одного структурного подразделения в другое, работникам бухгалтерии и отдела кадров. Конкретный перечень работников, которые имеют доступ к персональным данным других работников, должен быть установлен локальным нормативным актом организации и приказом организации.

3. Оформление обязательства о неразглашении персональных данных работниками, имеющими доступ к этим данным

В соответствии с п. 7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей. При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей и они обязались не разглашать такие сведения (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2). Следовательно, работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, обязательство об их неразглашении.

4. Положение о персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и иных федеральных законов. Данная норма обязывает работодателя принять локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников. Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также их права и обязанности в этой области.

4.1. Оформление Положения о персональных данных

В соответствии со ст. 68 ТК РФ при приеме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью. Поскольку из содержания п. 1 ст. 86 ТК РФ следует, что персональные данные работников обрабатываются исключительно в связи с трудовой деятельностью, то локальные нормативные акты, регламентирующие обработку персональных данных, являются документами, связанными также с их трудовой деятельностью. Следовательно, со всеми локальными нормативными актами, регламентирующими обработку персональных данных, работник должен быть ознакомлен до подписания трудового договора. Структура Положения о персональных данных может быть следующей:

1) " Общие положения". В данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует;

2) " Основные понятия. Состав персональных данных работников". Здесь следует указать, какие документы в организации содержат персональные данные;

3) " Обработка персональных данных". В этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;

4) " Передача персональных данных". Здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;

5) " Доступ к персональным данным". В данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов);

6) " Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных". В данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.

4.2. Введение в действие Положения о персональных данных

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается работодателем путем издания приказа, который подписывает руководитель организации или иное уполномоченное на это лицо. При наличии в организации представительного органа работников Положение о персональных данных должно приниматься с учетом требований ст. 372 ТК РФ. Согласно данной статье перед принятием решения об издании локального нормативного акта работодатель направляет его проект и обоснование его издания в выборный орган первичной профсоюзной организации, представляющий интересы всех или большинства работников. Данный орган не позднее пяти рабочих дней со дня получения проекта указанного локального нормативного акта направляет работодателю мотивированное мнение о проекте, составленное в письменной форме. В случае если это мнение выражает несогласие с проектом либо содержит предложения по его совершенствованию, работодатель может согласиться с мнением профсоюзного органа либо в течение трех дней после его получения провести дополнительные консультации с указанным органом в целях достижения решения, устраивающего обе стороны. Если согласие не достигнуто, возникшие разногласия оформляются протоколом, после чего работодатель имеет право своим решением принять локальный нормативный акт. В свою очередь профсоюзный орган может обжаловать это решение в соответствующую государственную инспекцию труда или в суд. Также согласно ч. 4 ст. 372 ТК РФ указанный орган может начать коллективный трудовой спор в соответствии с нормами Трудового кодекса РФ.

4.3. Ознакомление с Положением о персональных данных

Исходя из требований ст. ст. 68, 86 ТК РФ работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Факт ознакомления с указанным Положением может фиксироваться как в тексте самого трудового договора (путем перечисления локальных нормативных актов, с которыми работник ознакомлен до подписания договора), так и в отдельном документе (в самом Положении на листе ознакомления с ним). Работодатель может также предусмотреть в организации журнал ознакомления работников с локальными нормативными актами, где работники будут расписываться в подтверждение того, что они ознакомлены с соответствующими актами (в т.ч. с Положением о персональных данных).

4.4. Изменение и дополнение персональных данных

Законом не предусмотрена обязанность работника своевременно уведомлять работодателя об изменении своих персональных данных.

Однако несвоевременное предоставление работником измененных данных может повлиять на исполнение работодателем своих обязанностей. Так, например, работодатель не сможет принять от работника листок временной нетрудоспособности, если в нем будет указана другая фамилия, поскольку Фонд социального страхования в таком случае не возместит работодателю выплаченную сумму.

Аналогичные ситуации могут возникнуть и с заработной платой, если она перечисляется работнику на зарплатную карточку через банк. Помимо этого, работодатель должен уведомить Пенсионный фонд об изменении данных конкретного работника (п. 4 ст. 7 Федерального закона от 01.04.1996 N 27-ФЗ " Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования").

При изменении данных руководителя организации следует сообщить прежде всего в налоговый орган в течение трех дней (п. 5 ст. 5 Федерального закона от 08.08.2001 N 129-ФЗ " О государственной регистрации юридических лиц и индивидуальных предпринимателей"). Для того чтобы выполнить данное требование, нужно воспользоваться формой N Р14001. Посредством заполнения данной формы в налоговый орган сообщаются сведения об изменениях в Едином государственном реестре юридических лиц, не связанных с изменениями в учредительных документах.

В связи с тем что своевременное предоставление изменившихся персональных данных избавит работодателя от многих проблем, следует прописать в Положении о персональных данных обязанность работника ставить работодателя в известность о таких изменениях в конкретный срок.

Исходя из того что персональные данные работника могут содержаться во многих документах работодателя, изменения вносятся следующим образом:

- в личную карточку работника (форма N Т-2). В соответствии с п. 1 Указаний, утвержденных Постановлением Госкомстата РФ от 05.01.2004 N 1, при изменении сведений о работнике в его личную карточку вносятся новые данные, которые заверяются подписью работника кадровой службы. Следовательно, прежние сведения необходимо зачеркнуть одной чертой и сверху или рядом с соответствующей графой поместить новые данные и заверить подписью работника кадровой службы;

- в трудовую книжку. В соответствии с п. 2.3 Инструкции по заполнению трудовых книжек (утв. Постановлением Минтруда России от 10.10.2003 N 69) изменения записей в трудовых книжках о фамилии, имени, отчестве и дате рождения производятся на основании паспорта, свидетельств о рождении, о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов и со ссылкой на их реквизиты. Указанные изменения вносятся на первую страницу (титульный лист) трудовой книжки. Одной чертой зачеркиваются прежние фамилия, имя, отчество или дата рождения и записываются новые данные. Ссылки на соответствующие документы проставляются на внутренней стороне обложки трудовой книжки и заверяются подписью работодателя или специально уполномоченного им лица и печатью организации (или кадровой службы). Следует также учитывать, что согласно п. 26 Постановления Правительства РФ от 16.04.2003 N 225 " О трудовых книжках" изменение записей о фамилии, имени, отчестве и дате рождения, а также об образовании, профессии и специальности работника производится работодателем по последнему месту работы на основании паспорта, свидетельств о рождении, о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов.

Для внесения изменений в другие документы, содержащие персональные данные работника (например, книгу учета движения трудовых книжек и т.д.), необходимо в произвольной форме составить приказ об изменении персональных данных конкретного работника. На основании этого приказа будут вноситься изменения во все остальные соответствующие документы. Внесенные изменения необходимо заверить подписью ответственного работника и печатью организации.

Согласно п. п. 26, 27 Инструкции о порядке ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах (утв. Приказом Минздравсоцразвития России от 14.12.2009 N 987н), если работник сменил фамилию, имя или отчество, работодатель должен подать в территориальный орган ПФР заявление об обмене страхового свидетельства в связи с изменением персональных данных, подписанное работником, и опись документов (формы N АДВ-2 и N АДВ-6, утвержденные Постановлением Правления ПФР от 31.07.2006 N 192п). После получения работодателем нового свидетельства его следует выдать в течение недели работнику, который должен расписаться в подтверждение выдачи в сопроводительной ведомости (п. 14 указанной Инструкции).

В соответствии с п. 17 указанной Инструкции страхователь в месячный срок после получения в территориальном органе ПФР страховых свидетельств, запросов об уточнении сведений и решений об отказе в регистрации возвращает в территориальный орган следующие документы:

- сопроводительную ведомость;

- листки исправлений;

- заполненные запросы об уточнении сведений и заявления о выдаче дубликата страхового свидетельства;

- страховые свидетельства, которые не были выданы застрахованным лицам по причине невостребованности или наличия в них ошибок.

Ставить в известность остальные фонды (социального страхования, обязательного медицинского страхования) о смене работником фамилии, имени, отчества не нужно.

4.4.1. Внесение изменений в трудовой договор при изменении персональных данных (смена фамилии и т.д.)

Закон не обязывает работодателя вносить изменения в трудовой договор при изменении персональных данных работника. Однако такие изменения рекомендуется отражать в трудовом договоре или в дополнительном соглашении к нему. Это, например, позволит избежать следующей ошибки: в соглашении о переводе работника на другую должность в трудовом договоре указана прежняя фамилия работника, а в дополнительном соглашении - новая.

4.5. Срок хранения персональных данных

Исходя из положений Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения (утв. Приказом Минкультуры РФ от 25.08.2010 N 558) данные документы относятся к документам долговременного хранения и сроки их хранения составляют 75 лет или постоянно. Согласно данному Перечню личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов, работников, имеющих государственные и иные звания, премии, награды, степени и звания, хранятся постоянно, а иных работников - в течение 75 лет. Трудовые договоры, соглашения, не вошедшие в состав личных дел, должны храниться 75 лет. Также 75 лет хранятся личные карточки. Невостребованные трудовые книжки хранятся 75 лет.