Пункт о персональных данных в трудовом договоре

Для чего работодателю согласие на обработку персональных данных?

Стоит ли давать согласие на обработку данных или нет. И зачем работодателю нужна эта информация

Ответы юристов (5)

Можете давать, а можете не давать. Это его обязанность собирать и хранить персональные данные

Есть вопрос к юристу?

данная процедура нужна больше для службы безопасности предприятия куда вы устраиваетесь, это формальность, но они не имеют права собирать на вас какую либо информацию без вашего согласия, в противном случае вам откажут в дальнейшей работе, т.к. вас не смогли проверить!

Здравствуйте, уважаемый Александр!

Данный закон требуется соблюдать работодателями согласно законоположения ТК РФ

1)
обработка персональных данных работника может осуществляться
исключительно в целях обеспечения соблюдения законов и иных нормативных
правовых актов, содействия работникам в трудоустройстве, получении
образования и продвижении по службе, обеспечения личной безопасности
работников, контроля количества и качества выполняемой работы и
обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует
получать у него самого. Если персональные данные работника возможно
получить только у третьей стороны, то работник должен быть уведомлен об
этом заранее и от него должно быть получено письменное согласие.
Работодатель должен сообщить работнику о целях, предполагаемых
источниках и способах получения персональных данных, а также о характере
подлежащих получению персональных данных и последствиях отказа
работника дать письменное согласие на их получение;

Информация об изменениях:
Федеральным законом от 7 мая 2013 г. N 99-ФЗ пункт 4 статьи 86 настоящего Кодекса изложен в новой редакции

См. текст пункта в предыдущей редакции

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством
Российской Федерации в области персональных данных к специальным
категориям персональных данных, за исключением случаев, предусмотренных
настоящим Кодексом и другими федеральными законами;

5) работодатель не имеет права получать и
обрабатывать персональные данные работника о его членстве в общественных
объединениях или его профсоюзной деятельности, за исключением случаев,
предусмотренных настоящим Кодексом или иными федеральными законами;

6) при принятии решений, затрагивающих
интересы работника, работодатель не имеет права основываться на
персональных данных работника, полученных исключительно в результате их
автоматизированной обработки или электронного получения;

7) защита персональных данных работника от
неправомерного их использования или утраты должна быть обеспечена
работодателем за счет его средств в порядке, установленном настоящим
Кодексом и иными федеральными законами;

8) работники и их представители должны быть
ознакомлены под роспись с документами работодателя, устанавливающими
порядок обработки персональных данных работников, а также об их правах и
обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Это Ваши права, гарантии защиты Ваших персональных данных из трудового законодательства который работоадтель не вправе переступать. В противном случае, у Вас будут основания для подачи соотвтствующих жалоб.

Кроме того у Вас есть право на отзыв такого согласия (в силу закона о защите п.д).

С уважением, Райнхард.

вообще все данные вообще все данные у вас включая фамилию имя отчество дата рождения паспортные данные являются вашими персональными данными для правильной работы отдела кадров а также работы завода Необходимо войти данные обрабатывают согласно закону о персональных данных требуется ваше согласие на обработку в случае если вы не дадите данного Согласие невозможно будет заключить с вами договор трудовой деятельности при работе на заводе поэтому Вам нужно будет дать согласие если не будет этого согласия с вами не Может быть заключён трудовой договор.

Любая информация о вас — это персональные данные.
Эти данные неизбежно попадают к работодателю при заключении с вами трудового договора.

Закон обязывает работодателя «обрабатывать» данные в установленном порядке, о чем вы должны быть предупреждены.

По большому счету этот закон защищает именно вас, так как запрещает данные о вас, например, распространять третьим лицам.

Вы ничем не рискуете, когда даете согласие на обработку, а вот не подписав создаете ситуацию объективно исключающую ваше оформление на работу. Вы не сможете быть трудоустроены без такого согласия, так как работодатель обязан истребовать получение этого согласия.

Ищете ответ?
Спросить юриста проще!

Задайте вопрос нашим юристам — это намного быстрее, чем искать решение.

Трудовой договор: тонкости, о которых знают не все

Снова трудовой договор? О нем столько писали и говорили, что очередные экспертные разъяснения воспринимаются с неким недоумением: «Ну избитая же тема!». И все-таки сложно переоценить значимость такого института как «Трудовой договор». Как составлять безупречные договоры, которые учитывают интересы обеих сторон и полностью соответствуют законодательным требованиям, — рассказывает Татьяна Ширнина, ведущий юрист Департамента трудового права ИПК.

Трудовой договор — это главный регулятор и гарант правовых отношений между работником и работодателем, который сопровождает трудовую деятельность каждого сотрудника компании. И, конечно же, это один из важнейших документов, запрашиваемых инспекционными органами при проверке.

Основная действующая инструкция при составлении трудовых договоров — статья 57 Трудового кодекса Российской Федерации (далее — ТК РФ), Специалисту, ответственному за разработку такого значимого документа, весьма желательно знать все положения наизусть.

Из чего же состоит трудовой договор?

Прежде всего, важно различать сведения и условия трудового договора. Чтобы было проще разобраться, представим наглядную схему:

Почему же настолько принципиально выделять сведения и условия? Дело в том, что сами процедуры — изменения сведений и изменения условий трудового договора — полярно различаются. Если при изменении/дополнении недостающих сведений разрешается вносить корректировки в сам документ, то при изменении условий трудового договора необходимо придерживаться порядка, установленного Законом (ст. 72 и 74 ТК РФ).

Как показывает практика, даже те работодатели, которые оформляют трудовой договор в строгом соответствии со статьей 57 ТК РФ, не уделяют времени ее детальному анализу. Поэтому сегодня мы сделаем акцент именно на ключевых условиях трудового договора.

Первое, на что сразу стоит обратить внимание — трудовая функция. Что же это такое? Обратимся к абз.3 ч.2 ст. 57 ТК РФ, в которой под трудовой функцией понимается в совокупности:

а) работа по должности в соответствии со штатным расписанием, профессии, специальности с указанием квалификации;

б) конкретный вид поручаемой работнику работы

Следовательно, в каждом трудовом договоре должно быть указано название должности, профессии в соответствии со штатным расписанием + какой вид работы поручается сотруднику (конкретный функционал). При этом конкретный вид поручаемой работы можно прописать разными способами. Например, перечислить все обязанности непосредственно в трудовом договоре, либо оформить должностную инструкцию приложением, дав на нее ссылку в тексте трудового договора. Кроме того, можно указать в тексте основного документа обобщенную трудовую функцию в трех предложениях и дать ссылку на должностную инструкцию, которая является локальным нормативным актом.

Есть еще один легитимный вариант оформления трудовой функции, который позволит работодателю изменять конкретные действия работника по упрощенной схеме. Так, в трудовом договоре можно коротко прописать обобщенную трудовую функцию несколькими предложениями, а подробный перечень трудовых действий вынести в должностную инструкцию, оформленную как отдельный локальный нормативный акт. При этом в самом договоре уже не надо давать ссылку на должностную инструкцию.

Идем дальше. Перечень обязательных условий трудового договора, установленный ч. 2 ст. 57 ТК РФ, содержит пункт 10: «Другие условия в случаях, предусмотренных трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права».

Что же кроется под этими «другими условиями…»?

Приказ Министерства здравоохранения и социального развития РФ от 17.12.2010 г. № 1122н «Об утверждении типовых норм бесплатной выдачи работникам смывающих и (или) обезвреживающих средств и стандарта безопасности труда «Обеспечение работников смывающими и (или) обезвреживающими средствами» (Далее Приказ №1122н) как раз и есть один из тех нормативных правовых актов, устанавливающих «другие» обязательные условия трудового договора.

Так, согласно пункту 9 Приказа N 1122н, нормы выдачи смывающих и (или) обезвреживающих средств, соответствующие условиям труда на рабочем месте работника, указываются в трудовом договоре работника. Данная норма носит императивный характер. Конкретные объемы и виды смывающих и (или) обезвреживающих средств, соответствующие конкретным условиям труда, определены в Типовых нормах бесплатной выдачи работникам смывающих и (или) обезвреживающих средств, утвержденных все тем же Приказом Минздравсоцразвития от 17.12.2010 г. № 1122н.

Стоит также заметить, что долгое время статья 57 ТК РФ оставалась неизменной. Однако в связи с принятием Федерального закона от 28.12.2013 N 426-ФЗ «О специальной оценке условий труда» она была дополнена новым абзацем 9 следующего содержания: «условия труда на рабочем месте».

Напомним, что условия труда по степени вредности и (или) опасности подразделяются на четыре класса: оптимальные (1 класс), допустимые (2 класс), вредные (3 класс), которые внутри классифицируются на четыре подкласса -3.1, 3.2., 3.3., 3.4. соответственно и опасные условия труда (4 класс).

То есть, в трудовом договоре с работником должны быть отражены те же условия труда, что указаны в карте спецоценки условий труда.

Кроме того, изменилась формулировка абзаца 7 статьи 57 ТК РФ. Теперь она звучит так: «гарантии и компенсации за работу с вредными и (или) опасными условиями труда, если работник принимается на работу в соответствующих условиях, с указанием характеристик условий труда на рабочем месте».

Если раньше речь шла только об обязанности закрепить в трудовом договоре компенсации за работу во вредных и (или) опасных условиях, то сейчас сюда добавлены еще и гарантии (ст. 164 ТК РФ). Для полного понимания: к гарантиям относится, например, сокращенная продолжительность рабочего времени или ежегодный дополнительный оплачиваемый отпуск, к компенсациям же — повышенная оплата труда.

К сожалению, не все работодатели придали этому должное значение, и многие компании получили «приличный» штраф.

Стоит сказать и о том, что в настоящее время уже есть практика, когда инспекторы штрафуют за каждый неправильно оформленный трудовой договор. Иными словами, если в компании трудятся 50 человек, то даже по минимальной планке штраф уже может составить 2,5 млн. руб. (50 трудовых договоров х 50 000 руб.). А теперь представьте, какой может быть штраф, если в компании работает 200 человек и более. Не очень приятная перспектива, не правда ли?

Ссылки на локальные нормативные акты

Действительно и ст. 57 ТК РФ, и ст. 135 ТК РФ обязывает нас включить в трудовой договор условия оплаты труда, к которым относится оклад (тарифная ставка), доплаты, надбавки и поощрительные выплаты.

То есть, если в компании предусмотрены премии, бонусы и т.д., они должны быть отражены в трудовом договоре. И тут возникает вопрос: «Надо ли прописывать конкретную сумму премии и/или иных поощрительных выплат?». На самом деле данные выплаты могут быть только названы в трудовом договоре.

Обратите внимание: прописать условие премирования работников можно как право либо как обязанность работодателя. Поэтому такая формулировка «… работнику по усмотрению работодателя может быть выплачена премия…» / «…выплата премии является правом работодателя…» в дальнейшем будет служить защитой интересов работодателя. В то время как формулировка «…работодатель обязуется выплатить работнику премию…» / «…работнику выплачивается премия…» — напротив, сыграет не в пользу работодателя в случае возникновения спора.

Когда в компании есть локальные нормативные акты по оплате труда либо локальные акты, определяющие системы премирования (они, кстати, должны быть — в силу требований ст. 135 ТК РФ), ссылку на них сделать необходимо, поскольку в этих документах помимо прочего прописывается порядок, условия и критерии премирования. Однако не рекомендуем указывать в тексте трудового договора конкретное наименование таких локальных нормативных актов (например, Положение по оплате труда ООО «Ромашка»). Вот с чем это связано: если прописать наименование локального акта, в дальнейшем при каждой необходимости внести в него изменения, придется менять условия трудового договора в порядке, предусмотренном действующим законодательством (ст. 72 и 74 ТК РФ). А это довольно проблематично. Поэтому лучше использовать общие формулировки, например: «Ежеквартальная премия выплачивается работнику в порядке и на условиях, определяемых действующими у работодателя локальными нормативными актами».

Какие условия не включать в трудовой договор?

В ходе кадровых аудитов нередко встречаются трудовые договоры, похожие на большие талмуды. В них всё: и персональные данные, и коммерческая тайна, и т.д. Нет, конечно, вы можете включать такие положения в трудовой договор. Но вопрос: зачем? Не стоит перегружать трудовой договор информацией, которая должна быть закреплена в локальных нормативных актах работодателя, или, чего доброго, переписывать Трудовой кодекс, Федеральные законы и нормативные правовые акты. Кстати говоря, отражение в трудовом договоре основного (всего самого необходимого!) — гарантия того, что вы не забудете ничего из обязательных условий и минимизируете свои риски при проверке инспекционными органами.

Так же заметим, что почти в каждом втором трудовом договоре встречаются такие данные как ИНН, адрес места жительства, условие того, что работник соглашается на обработку своих персональных данных. Вы вправе вносить в трудовой договор такую информацию как ИНН и адрес места жительства только если у работника предварительно было взято согласие на обработку персональных данных. Ситуации, когда в трудовой договор изначально включено условие, что работник согласен на обработку его персональных данных, считаются нарушением ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», поскольку данная норма предъявляет требования к письменной форме согласия на обработку персональных данных. Этот документ должен оформляться отдельно и не может признаваться условием трудового договора.

Безусловно, в статье мы рассмотрели лишь некоторые элементы трудового договора. Тонкостей на практике возникает гораздо больше. Составляя трудовой договор, необходимо понимать последствия его ненадлежащего оформления. Если в нем нет хотя бы одного из обязательных условий, вы автоматически «попадаете» на штраф, максимальный размер которого достигает 100 000 рублей. Инспекторы при проверках сегодня идут по практике того, что каждый факт нарушения трудового законодательства образует самостоятельный состав административного правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП. Значит, работодателям тем более следует со всей ответственностью подойти к оформлению трудовых договоров, а в некоторых случаях — провести внутренний или внешний кадровый аудит для того, чтобы устранить все нарушения еще до проверки.

Татьяна Ширнина, Ведущий юрист Департамента трудового права Института профессионального кадровика

10 Ошибок, которые не стоит допускать при оформлении документов, связанных с персональными данными

«Кадровая служба и управление персоналом предприятия», 2012, N 3

10 ОШИБОК, КОТОРЫЕ НЕ СТОИТ ДОПУСКАТЬ ПРИ ОФОРМЛЕНИИ ДОКУМЕНТОВ, СВЯЗАННЫХ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

По опросу знакомых и клиентов-работодателей, никто особо не «напрягается» из-за новых требований Закона о персональных данных . Действительно, «поймать» организацию за нарушение правил работы с персональными данными проверяющий может практически на любом аспекте, однако ответственность довольно невысока. Да и когда, в самом деле, Роскомнадзор обратит внимание на среднестатистическую компанию? Ведь в плане проверок, размещенном на сайте ведомства, обычно числятся крупные организации. Вместе с тем суммы штрафов расти будут, и безобидные на первый взгляд нарушения могут закончиться для работодателя весьма плачевно.

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).

Штрафы вырастут в цене

Практика показывает, что после недавнего ужесточения норм Закона о защите персональных данных проверяющие особенно активизировались, нещадно штрафуя нарушителей. Как отмечает Роскомнадзор в отчете за 2010 г. (http://www. rsoc. ru/docs/Otchet_2010.pdf), суды привлекли к административной ответственности в виде штрафа операторов персональных данных (все работодатели ими являются) на общую сумму 4480 тыс. руб. Для сравнения: в 2009 г. общая сумма наложенных штрафов составила в 60 раз меньше — всего 75 тыс. руб.!

В 2011 г. тенденция по увеличению суммы наложенных штрафов сохранилась, хотя статистика еще недоступна. Это говорит о том, что операторы персональных данных допускают многочисленные нарушения. И пусть максимальная сумма штрафа пока мало кого пугает. Напомним, что для организаций по ст. 13.11 КоАП РФ сейчас она составляет от 5000 до 10 000 руб., должностного лица — от 500 до 1000 руб., гражданина — 300 — 500 руб., но планы по значительному повышению штрафов за нарушение порядка обработки персональных данных, видимо, скоро претворят в жизнь.

Разговоры об ужесточении ответственности начались в прошлом году, сразу после упомянутых поправок, а недавно в прессе появилась информация, что Правительство РФ подготовило законопроект, увеличивающий наказание за разглашение персональных данных в разы. Работодатель-нарушитель может быть оштрафован от 200 тыс. до 500 тыс. руб., предприниматель без образования юридического лица — от 50 тыс. до 100 тыс. руб., должностное лицо — от 15 тыс. до 50 тыс., а гражданин — от 10 тыс. до 15 тыс. руб.

Если же нарушение происходит не в первый раз, то повторное наказание будет еще жестче. Организация может лишиться от 500 тыс. до 1 млн руб., предприниматель — от 100 тыс. до 300 тыс., должностное лицо — от 50 тыс. до 100 тыс. руб., а гражданин — от 15 тыс. до 30 тыс. руб. Причем деятельность юридического лица или предпринимателя может быть приостановлена на срок до 90 суток.

Эксперты отмечают, что если законопроект будет принят, то штрафы «обрушатся» на головы работодателей как снег на голову. А учитывая довольно непроработанные требования Закона, привлекать к административной ответственности операторов персональных данных можно будет поголовно, что, кстати, проверяющие из Роскомнадзора России делают и будут делать.

Сотрудники контролирующего ведомства уделяют большое внимание документам, которые закрепляют политику в отношении персональных данных работников, вопросы их обработки и защиты. С одной стороны, в нормативных актах установлены определенные требования к оформлению и содержанию этих документов, с другой, эти требования «размыты» по многочисленным нормативным актам, поэтому работодателям бывает довольно сложно в них сориентироваться.

Большинство замечаний сотрудников Роскомнадзора относится к тому, что необходимые документы, касающиеся персональных данных на предприятиях, часто носят формальный характер, повторяя содержание статей ТК РФ и Закона о персональных данных. В разъяснениях контролеры выделяют типичные ошибки, которые допускают работодатели при оформлении кадровых документов, регламентирующих обработку и защиту персональных данных. Чтобы избежать ответственности или хотя бы свести ее к минимуму, мы проанализировали замечания Роскомнадзора и предлагаем вам список из 10 ошибок, которые не стоит делать при составлении документов для защиты персональных данных ваших работников. А для наглядности приведем правильные формулировки и образцы заполнения необходимых на каждом предприятии документов.

Официальный сайт Роскомнадзора России www. rsoc. ru.

1. Не указываются конкретные нормы закона, на основании которых работодатель ведет обработку персональных данных. Обратите внимание: Роскомнадзор говорит о том, что в документах следует четко перечислить соответствующие пункты и статьи конкретных нормативных актов, регламентирующих осуществляемый вид деятельности компании и касающихся обработки персональных данных. Поэтому формальной отсылкой к ТК РФ или Закону о персональных данных явно не обойтись. Пример указания конкретной нормы Закона приведем в согласии соискателя на получение работодателем персональных данных от третьих лиц (см. пример 1).

Пример 1. Согласие на получение персональных данных от третьих лиц.

ЗАО «Мир увлечений», расположенное

по адресу: г. Москва, ул. Академика

Загоушинского Александра Вениаминовича,

зарегистрированного по адресу:

г. Москва, Долгоруковская улица, д. 16,

паспорт серии 45 09 N 654321,

выдан п/с N 2 ОВД Тверского района

УВД ЦАО г. Москвы 29.04.2004

Я, Загоушинский Александр Вениаминович, в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» даю согласие на получение моих персональных данных о предыдущих местах работы, периодах трудовой деятельности, деловых качествах от третьих лиц.

Настоящее согласие действует в течение месяца (со дня его подписания по 30.03.2012) и в любой момент может быть отозвано в письменной форме.

01.03.2012 Загоушинский А. В. Загоушинский

2. Под целью обработки персональных данных работодатели ошибочно указывают саму обработку персональных данных или действия, совершаемые с персональными данными (сбор, хранение, использование и другие). Однако целью это никак назвать нельзя. Здесь следует перечислить, для чего вы собираете и обрабатываете указанную информацию.

Так, работодателю нужно указать, скажем, следующее: «Обработка персональных данных осуществляется для реализации трудовых взаимоотношений с работниками». Возможно, придется указать и другие основания, перечисленные в учредительных документах — уставе, учредительном договоре, положении: «для осуществления видов деятельности, перечисленных в уставе, а именно: . «. Ну и, безусловно, не стоит забывать о фактически осуществляемой оператором деятельности.

Указать цель обработки персональных данных потребуется в согласии работника на обработку и передачу персональных данных третьим лицом (см. пример 2).

Пример 2. Согласие на передачу и обработку персональных данных третьим лицом.

ЗАО «Мир увлечений», расположенное

по адресу: г. Москва, ул. Академика

Загоушинского Александра Вениаминовича,

зарегистрированного по адресу:

г. Москва, Долгоруковская улица, д. 16,

паспорт серии 45 09 N 654321,

выдан п/с N 2 ОВД Тверского района

УВД ЦАО г. Москвы 29.04.2004

Даю свое согласие на передачу следующих моих персональных данных:

1) фамилия, имя, отчество;

4) данные об изображении лица;

в целях исполнения заключенного между нами трудового договора в частное охранное предприятие «Железная защита» (г. Москва, ул. Александра Солженицына, д. 30) для любой их обработки в рамках договора об оказании охранных услуг от 14.02.2012 N 16.

Настоящее согласие действует с 05.03.2012 в течение всего срока действия трудового договора. В случае неправомерного использования предоставленных данных, а также по иным причинам согласие может быть отозвано в письменном виде.

05.03.2012 Загоушинский А. В. Загоушинский

Обратите внимание: помимо данных работника в согласии должны быть указаны наименование и адрес работодателя, цель передачи персональных данных, перечень информации, на передачу которой работник дает согласие, и срок, в течение которого оно действует, а также порядок его отзыва.

3. Категории персональных данных указываются не полностью, часто вместо закрытого перечня работодатели пишут фразы «и др.», «и т. п.», «другая информация». Делать это ни в коем случае нельзя. Необходимо перечислять все обрабатываемые категории персональных данных. Перечень должен быть полным, поэтому, написав в положении о защите персональных данных работника, что к персональным данным относятся «анкетные данные», вы совершите ошибку.

Перечислить стандартные категории (Ф. И. О., дату и место рождения, адрес, образование и пр.) компании обычно не забывают. Хотя некоторые данные, например паспортные или данные из свидетельства о рождении, ИНН, данные СНИЛС, сведения о воинском учете, номер телефона, банковские реквизиты работника, работодатели порой не указывают, считая, что «они нужны по закону» и перечислять их нет необходимости. А что говорить об особенных данных, скажем, росте, весе, группе крови или данных об изображении лица!

Надо отметить, что не стоит в кадровых документах перечислять обобщенные категории персональных данных (биометрические или специальные персональные данные), надо их подробно перечислить. Также следует иметь в виду, что под «категориями персональных данных» понимается «информация, относящаяся к физическому лицу» (ст. 3 Закона о персональных данных), поэтому документы, принадлежащие ему, не могут являться категориями персональных данных. Так что вместо «фотография» следует написать «данные об изображении лица», а вместо «паспорт» — «паспортные данные». Пример перечисления конкретных персональных данных можно посмотреть в согласии соискателя на получение работодателем персональных данных от третьих лиц (см. пример 1) и согласии на обработку и передачу персональных данных третьим лицом (см. пример 2).

Добавим, что, несмотря на наличие, например, письменного соглашения о получении работодателем персональных данных о работнике от третьих лиц, в Положении о защите персональных данных работника следует указать на возможность и необходимость запроса подобной информации у третьих лиц. Так, в Положении можно сделать следующую пометку: «Работодатель имеет право проверять достоверность сведений, предоставленных работником. При необходимости затребования персональных данных работника у третьих лиц работодатель должен уведомить об этом работника и получить от него письменное согласие по установленной форме».

4. Указываются не все категории субъектов, чьи персональные данные обрабатываются. По аналогии с категориями персональных данных пишутся фразы типа «и т. д.», «и пр.». Здесь следует четко уяснить, что «категории субъектов» — это определенные группы граждан, у которых обрабатываются одинаковые персональные данные. Скажем, личные дела всех сотрудников содержат одинаковый перечень данных и документов, поэтому у работников обрабатывается равное количество персональных данных, и если вы обрабатываете только данные своих работников, то будет достаточно указать лишь их.

Вместе с тем проверяющие отмечают, что при перечислении категорий физических лиц следует указывать и виды отношений с ними (в т. ч. трудовые, гражданско-правовые). Иными словами, если в вашей организации к отдельным работам привлекаются физические лица по гражданско-правовым договорам, то их тоже придется указывать. Так, нужно будет перечислить и тех и других. Например, в Положении о защите персональных данных сотрудников можно сделать следующую пометку: «Настоящее Положение определяет порядок обработки персональных данных лиц, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с ООО «Энигма» (далее по тексту — Общество)».

5. Перечисляются лишь общие характеристики используемых оператором способов обработки персональных данных, а также порядок передачи информации. Отметим, что общий перечень действий содержится в п. 3 ст. 3 Закона о персональных данных, однако работодателю следует выбрать лишь те из них, которые он фактически совершает, например сбор, систематизацию, хранение, уточнение, использование и передачу.

Кроме того, должны быть перечислены конкретные способы обработки с указанием порядка передачи. Скажем, информация передается по внутренней сети юридического лица и по сети Интернет. Здесь нелишним будет упомянуть два Постановления Правительства — от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее — Постановление N 687) и от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В документах вы найдете много волнующих вопросов, например, о том, что относится к обработке в информационных системах. В частности, полезно будет знать, что информация, хранящаяся на компьютере, но для использования распечатываемая на бумаге, относится к данным, осуществляемым без использования автоматизации (п. 1 Положения, утвержденного Постановлением N 687).

При составлении Положения о защите персональных данных работников и других локальных документов вы можете использовать отдельные формулировки из названных Постановлений.

6. Не указываются конкретные меры, которые работодатель обязуется осуществлять при обработке персональных данных и для обеспечения их безопасности. К перечислению способов защиты информации проверяющие относятся очень серьезно и требуют указывать конкретные технические и организационные меры. Чтобы не запутаться, поясним: технические меры направлены на устранение самой возможности утечки информации и ее несанкционированного использования. Например, защита от несанкционированного физического доступа в помещения, где хранится информационная база, защита паролями и картами доступа компьютеров, где установлены и хранятся персональные данные, использование системы паролей в сети Интернет.

В свою очередь, организационные меры направлены на то, чтобы все заинтересованные лица и проверяющие органы были в курсе, как именно и в каких целях происходят защита и обработка персональных данных. Поэтому к организационным мерам относится принятие локальных нормативных актов и иных организационно-распорядительных документов организации (внутренних документов — приказов, положений, регламентов, перечней, сведений).

Средства обеспечения безопасности более конкретны. Это могут быть оборудование помещений охранной системой, наличие видеонаблюдения на этаже и в кабинете, пропускная система и карты доступа.

Проверяющие акцентируют внимание на том, что работодатель должен указать лицо, ответственное за общую организацию защиты персональных данных, например начальника отдела кадров. Для этого необходимо издать приказ (см. пример 3).

Пример 3. Образец приказа о назначении ответственного лица за организацию защиты персональных данных.

Закрытое акционерное общество «Мир увлечений»

(ЗАО «Мир увлечений»)

О назначении ответственного лица

за организацию защиты персональных данных

В соответствии с п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»

1. Назначить начальника отдела кадров Авдотьеву И. С. ответственной за организацию защиты персональных данных работников.

2. В связи с новым назначением начальнику отдела кадров Авдотьевой И. С. внести соответствующие изменения в должностную инструкцию начальника отдела кадров, а также Положение о защите персональных данных работников до 12 марта 2012 г.

3. Установить ежемесячную доплату Авдотьевой И. С. в размере 5000 руб. к должностному окладу в связи с исполнением дополнительной обязанности по организации защиты персональных данных работников.

4. Начальнику канцелярии Перевертовой К. С. довести настоящий приказ до сведения главного бухгалтера Свободомыслова А. Н.; начальника отдела кадров Авдотьевой И. С. под личную подпись.

Генеральный директор Улиновский Н. Э. Улиновский

С приказом ознакомлены: Авдотьева И. С. Авдотьева ———-

Свободомыслов А. Н. Свободомыслов ———-

Обязанности ответственного сотрудника можно прописать, например, в Положении о защите персональных данных (см. Пример 4).

Пример 4. Выдержка из Положения о защите персональных данных работников.

4. Начальник отдела кадров:

— осуществляет общий контроль за соблюдением работниками мер по защите персональных данных;

— обеспечивает ознакомление сотрудников под личную подпись с локальными нормативными актами, содержащими нормы о защите персональных данных, в частности с настоящим Положением о защите персональных данных;

— истребует с работников письменное обязательство о соблюдении конфиденциальности персональных данных.

7. Не указываются меры ответственности за нарушение норм, регулирующих получение, обработку и защиту персональных данных работников в локальных документах. Начнем с того, что в трудовом договоре должен быть пункт, устанавливающий ответственность работника за разглашение персональных данных (п. 8 ст. 86 ТК РФ).

Если же мы говорим о лицах, ответственных за работу с персональными данными, то они должны быть предупреждены под личную подпись об ответственности за нарушение порядка обработки и защиты персональных данных. Это можно сделать либо в должностной инструкции, либо в Положении о защите персональных данных (см. пример 5).

Пример 5. Выдержка из Положения о защите персональных данных работников.

6.1. Разглашение персональных данных работника Общества, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные работника; иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания — выговора, увольнения.

6.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный поступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 Трудового кодекса РФ.

6.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. 188 Уголовного кодекса РФ.

8. Отсутствие в договорах на обработку персональных данных третьим лицом положения об обеспечении конфиденциальности и безопасности персональных данных при их обработке. К третьим лицам здесь могут относиться: страховые, консалтинговые, охранные, аутсорсинговые компании, кредитные учреждения (банки), рекламные агентства и пр. Некоторые работодатели заключают отдельное соглашение о неразглашении персональной информации.

Для примера дадим формулировку пункта в Положении о защите персональных данных (см. пример 6).

Пример 6. Выдержка из Положения о защите персональных данных работников.

4.2. Если Работодателю оказывают услуги юридические и/или физические лица на основании заключенных гражданско-правовых договоров и в силу этих договоров они должны иметь доступ к персональным данным сотрудников Работодателя, то соответствующие данные предоставляются только после подписания с ними соглашения об их неразглашении.

9. Даты начала совершения действий с персональньми данными и прекращения обработки не указываются или указываются размыто. Как отмечают проверяющие из Роскомнадзора, писать следует фактические даты и конкретные основания. Каким образом? Если мы говорим об обработке данных только работников, то, как правило, за дату начала обработки берут дату регистрации юридического лица или дату, которая указана в свидетельстве о государственной регистрации юридического лица, а также дату заключения трудового договора. За дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных, как правило, берут «ликвидацию юридического лица» (см. примеры 1 и 2).

В качестве варианта предложенной в примере 2 формулировки можно указать: «Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме».

10. Отсутствует список лиц, имеющих доступ к персональньм данным, обрабатываемым в информационной системе. Такой список следует утвердить приказом руководителя компании (см. пример 7). Сделать это необходимо еще и потому, чтобы понять, каким образом будут осуществляться доступ и передача персональных данных. Ведь очень важно, чтобы во время передачи рассматриваемой информации не произошла ее утечка или неправомерное использование. Порядок следует предусмотреть в Положении о защите персональных данных.

Например, можно предложить следующую формулировку: «Отдел кадров вправе передавать персональные данные сотрудников в бухгалтерию, службу безопасности и иные структурные подразделения только в случае необходимости исполнения работниками соответствующих подразделений трудовых обязанностей.

Любая передача персональных данных между структурными подразделениями возможна только между сотрудниками, имеющими доступ к персональным данным. При передаче персональных данных начальник отдела кадров предупреждает лиц, получающих доступ к персональным данным, о том, что эти данные могут быть использованы только в тех целях, для которых они сообщены.

Начальник отдела кадров обязан взять письменное обязательство о неразглашении и предупреждении об ответственности с лиц, получающих доступ к персональным данным».

Кроме того, некоторые работодатели прописывают в Положении пункт о том, кто имеет право доступа ко всем персональным данным, например генеральный директор, учредители или совет директоров.

Пример 7. Образец приказа об утверждении списка лиц, имеющих доступ к персональным данным работников.

Закрытое акционерное общество «Мир увлечений»

(ЗАО «Мир увлечений»)

Об установлении списка лиц, имеющих

доступ к персональным данным работников

В соответствии со ст. 88 Трудового кодекса РФ и п. 3.2 Положения о защите персональных данных работников ЗАО «Мир увлечений»

1. Установить следующий перечень сотрудников Общества, имеющих доступ к персональным данным работников:

— генеральный директор Улиновский Н. Э.;

— заместитель генерального директора Прушенинников К. С.;

— начальник отдела кадров Авдотьева И. С.;

— главный бухгалтер Свободомыслов А. Н.;

— начальник службы экономической безопасности Прутьев П. Е.;

— начальник отдела продаж Федоскин Н. З.

2. Возложить контроль за исполнением приказа на начальника отдела кадров Авдотьеву И. С.

Генеральный директор Улиновский Н. Э. Улиновский

С приказом ознакомлены:

заместитель генерального 05.03.2012

директора Прушенинников К. С. Прушенинников ———-

начальник отдела кадров Авдотьева И. С. Авдотьева ———-

главный бухгалтер Свободомыслов А. Н. Свободомыслов ———-

начальник службы экономической 05.03.2012

безопасности Прутьев П. Е. Прутьев ———-

начальник отдела продаж Федоскин Н. З. Федоскин ———-

Как правило, доступ к персональным данным имеют сотрудники работодателя, которым необходима эта информация в связи с исполнением ими трудовых обязанностей. В Положении о персональных данных работников можно предусмотреть порядок действий в случае, если лицо в списке не поименовано, но срочно требуется доступ к данным. Сформулировать пункт об этом можно следующим образом: «Доступ к персональным данным может быть предоставлен иному сотруднику Работодателя, должность которого не поименована в списке лиц, имеющих доступ к персональным данным работника, если этого требует производственная необходимость и выполняемая им трудовая функция. Для этого сотруднику следует составить докладную записку на имя генерального директора с визой непосредственного руководителя».

Это наиболее типичные ошибки работодателей, хотя Роскомнадзор России отмечает и иные. Например, отсутствие на предприятии листа ознакомления сотрудников под личную подпись с Положением о защите персональных данных работника, а также документа, подтверждающего факт информирования лиц о том, что они осуществляют обработку персональных данных без использования средств информатизации. Подобный документ должен содержать категории персональных данных, а также особенности и правила осуществления обработки.

Как видите, к оформлению перечисленных документов стоит подойти со всей серьезностью. И самое главное — соблюдать их требования, поскольку любое нарушение может привести к жалобе недовольного работника в Роскомнадзор. И тогда, несмотря на то что компания маленькая, проверяющие нагрянут в нее с внеплановой проверкой.

Еще по теме: