2.2. Порядок хранения, передачи и обезличивания персональных данных работника

Как было отмечено ранее, персональные данные работника - это касающаяся конкретного лица информация, необходимая работодателю в связи с трудовыми отношениями. Законодательством предусмотрен ряд обязанностей по получению, хранению, передаче и защите персональных данных работников. Руководствоваться при этом работодателю следует не только положениями ТК РФ и федеральными законами, но и локальным актом, который должен быть в каждой организации.

Для установления порядка хранения, передачи и обезличивания персональных данных работника в каждой организации должно быть разработано Положение о персональных данных.

Далее рассмотрим, что в него включить и на что еще обратить внимание.

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»¹⁰ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Помимо таких данных, как фамилия, имя, отчество, возраст, образование, место жительства, семейное положение, национальность, к персональным данным можно отнести религиозные и политические убеждения, сексуальную ориентацию и т.п. Что касается сферы трудовых отношений, персональными данными работника считаются только те сведения, которые необходимы работодателю в связи с трудовыми отношениями. Это, в первую очередь, информация об образовании, специальности, квалификации, состоянии здоровья (для занятия определенными видами деятельности), наличии детей, доходах (для замещения должностей государственной службы). То есть работодатель не имеет права запрашивать у работника информацию, например, о его вероисповедании или национальности. И когда в некоторых организациях на собеседованиях с претендентами задают подобные вопросы, тем самым нарушается право на неприкосновенность частной жизни.

В силу ст. 85 ТК РФ работодатель осуществляет обработку персональных данных работников, которая включает в себя действия по получению, хранению, передаче или иному их использованию. Кроме этого, работодатель должен обеспечивать их защиту от неправомерного использования, утраты в порядке, установленном ТК РФ и иными федеральными законами (п. 7 ст. 86 ТК РФ), за счет своих средств. Хранение и обработка персональных данных, как правило, осуществляются одновременно с использованием электронной системы хранения и на бумажных носителях.

Какие данные в конкретной организации подлежат хранению и обработке как персональные, кто имеет доступ к таким данным, каким образом осуществляется их защита от несанкционированного доступа - обо всем этом говорится в положении о персональных данных (далее - Положение), которое должно быть разработано в каждой организации.

Для государственных учреждений положения разрабатываются нормативными правовыми актами. Так, Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела утверждено Указом Президента РФ от 30.05.2005 N 609.

Если в организации есть профсоюз, Положение утверждается с учетом его мнения в порядке, определенном ст. 372 ТК РФ (если данное требование установлено коллективным договором или соглашением): работодатель направляет проект положения в выборный орган первичной профсоюзной организации, который не позднее пяти рабочих дней со дня его получения отсылает работодателю мотивированное мнение по проекту в письменной форме. Если оно не содержит согласия с проектом положения либо содержит предложения по его совершенствованию, работодатель может согласиться с этим либо обязан в течение трех дней после получения такого мнения провести дополнительные консультации с выборным органом в целях достижения взаимоприемлемого решения. При недостижении согласия оформляется протокол разногласий, после чего работодатель имеет право принять Положение, но оно может быть обжаловано выборным органом первичной профсоюзной организации в государственную инспекцию труда или в суд. Также профсоюз имеет право начать процедуру коллективного трудового спора¹¹.

Если в организации нет профсоюза, а есть иной представительный орган работников, Положение нужно согласовать с этим органом. Если же нет ни того, ни другого, работодатель утверждает положение самостоятельно, соблюдая процедуру согласования, установленную локальным нормативным актом организации. Как правило, принимаемый локальный акт согласовывается с начальником отдела кадров, главным бухгалтером, юристом или другими работниками. Положение вводится в действие приказом работодателя.

При разработке Положения рекомендуется включать в него следующую информацию:

- сведения, относящиеся к персональным данным, порядок их получения;

- перечень лиц, имеющих право доступа к персональным данным, их права и обязанности, режим доступа к таким данным;

- способы защиты персональных данных;

- права работника и работодателя в области обработки персональных данных;

- порядок ознакомления работника с его персональными данными, получения копий документов, их содержащих;

- ответственность за нарушение норм по обработке персональных данных.

Передача персональных данных граждан третьим лицам.

Организация вправе передать персональные данные субъекта третьему лицу, при этом соблюдаются следующие требования:

• передача персональных данных третьему лицу обоснована, в частности федеральными законами;

• передача персональных данных третьим лицам осуществляется при согласии гражданина, если иное не предусмотрено федеральным законом;

• лицо (оператор), которому осуществляется передача персональных данных, соблюдает принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных»;

• в соглашениях организации с третьими лицами определены перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, и цели обработки;

• в соглашениях организации с лицами установлена обязанность третьих лиц соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке¹².

Хранение и защита персональных данных.

1. Все операции по оформлению, формированию, ведению и хранению информации, содержащей персональные данные, должны выполняться только теми работниками, которые осуществляют данную работу в соответствии со своими обязанностями, за-фиксированными в их должностных инструкциях.

2. Ответственность за организацию обработки персональных данных возлагается на должностное лицо, назначаемое приказом генерального директора.

3. Допуск к персональным данным работника разрешен должностным лицам, которым персональные данные необходимы для выполнения конкретных трудовых функций. Список лиц, имеющих право доступа к персональным данным работников, утвер-ждается генеральным директором.

4. Право доступа к персональным данным работника имеют: 

а) генеральный директор; 

б) административный директор; 

в) начальник и сотрудники управления по работе с персоналом, инспекторы по кадрам и инженеры по организации и нормированию труда структурных под-разделений; 

г) главный бухгалтер и сотрудники главной бухгалтерии – при подготовке доку-ментов, необходимой для выполнения конкретных функций; 

д) директор по безопасности, начальник и сотрудники управления службы без-опасности - в рамках своих полномочий; 

е) начальник и сотрудники управления по юридическим вопросам - в рамках вы-полнения своих должностных обязанностей; 

ж) руководитель и сотрудники канцелярии, техники (по документации) структур-ных подразделений – при обороте, согласовании, регистрации документов, под-готовке и сдаче их к хранению в архив; 

з) руководители структурных подразделений (доступ к личным данным работни-ков своего подразделения и работников, принимаемых на работу); 

и) начальники и сотрудники управления АСУП и управления автоматизации – при обработке информации в автоматизированных информационных системах и их сопровождении; 

к) сам работник предприятия (к своим персональным данным); 

л) прочие работники предприятия, которым в силу выполнения своих трудовых обязанностей, необходим доступ к персональным данным¹³.

5. Работники предприятия, осуществляющие сбор, обработку, хранение и передачу персональных данных, обязаны ознакомиться с настоящим Положением и подпи-сать соглашение о неразглашении персональных данных работников. Форма согла-шения представлена в приложении № 3.

6. Соглашение о неразглашении персональных данных работников оформляется в письменной форме за подписью работника предприятия и является дополнением к трудовому договору, заключенному между работником и работодателем.

7. Персональные данные по письменному запросу могут представляться в органы гос-ударственной власти: налоговые инспекции, правоохранительные органы, органы безопасности, суды, МЧС, федеральную миграционную службу, органы статистики, военкоматы, органы социального страхования, пенсионные фонды, муниципальные органы власти и т.д.

8. Передача информации, содержащей сведения о персональных данных работников предприятия по телефону, факсу, электронной почте, на электронных и бумажных носителях без письменного согласия работника запрещается, кроме предоставления информации в соответствии с законодательством РФ.

9. Ответы на письменные запросы других организации и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на блан-ке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках предприятия.

10. Хранение персональных данных работников осуществляется на электронных носи-телях, а также в бумажном варианте.

11. Доступ к персональным данным на электронных носителях защищены паролями до-ступа. Доступ в базу данных по учету персонала автоматизированной системы R/3 (модуль HR) и прочие автоматизированные информационные системы осуществля-ется только через личный доступ – пароль доступа.

12. Документы, содержащие персональные данные, должны храниться в помещениях подразделений, ответственных за ведение и хранение таких документов.

13. Входные двери помещений, в которых хранятся персональные данные работников, оборудуются замками, гарантирующими надежное закрытие помещений во внера-бочее время, и оснащаются охранно-пожарной сигнализацией.

14. Документы, содержащие персональные данные, подлежащие передаче для хранения в архив, формируются в дела постоянного и временного хранения и передаются на хранение в архив канцелярии. До момента передачи документы хранятся в подраз-делениях не более трех лет.