С июля этого года Закон о персональных данных  действует в новой редакции. ( ФЗ от 27.07.2006 № 152-ФЗ ” О персональных данных”). Многие поправки затронули обязанности операторов по обработке персональных  данных, коими, напомню, являются все компании и предприниматели, если у них есть работники. Поэтому далее о таких обязанностях и поговорим.

В частности, о том, как в свете последних поправок работодатели должны оформлять основные документы в сфере защиты персональных данных (ПД) своих работников. Ведь решение этого вопроса руководитель часто вешает на главного бухгалтера, считая его универсальным специалистом. :-)

 Положение о персональных данных

С Положением о ПД и изменениями к нему (если они вносились) нужно под роспись ознакомить всех работников.

Любой работодатель должен закрепить на бумаге свою политику в области обра­ботки и защиты ПД работников. Удобнее это сделать в одном локальном норма­тивном акте, который должен быть утвержден приказом и может именоваться как угодно, чаще всего — Положени­ем о персональных данных.

Вот что должно содержаться в Положении о ПД:

  •  перечень обрабатываемых ПД.

То есть всех тех ПД работ­ников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджет­ные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспорт­ные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.;

  • цели обработки ПД.

Их можно переписать из Трудового кодекса п.1 ст. 86 ТК

  • перечень действий с ПД.

Они перечислены в определении понятия «обработка персональных данных». Например, это сбор ПД, их накопление, уточнение, хранение, удаление и т. п. (п.3 ст.3) В принципе, работодатели могут предпринимать все из указанных в этом определении действий;

  • права и обязанности работников в сфере обработки ПД. (п.8 ст.86 ТК РФ) Их тоже можно пере­писать из Закона о ПД и Трудового кодекса. (ст.14 ФЗ-152) К примеру, работники имеют пра­во получать доступ к своим ПД и информацию об их обработке;
  • порядок обработки ПД, в том числе хранения, использования и передачи12. Здесь нужно указать:

—    общие требования к обработке ПД.  В частности, все ПД работника нужно получать у него самого, обрабатывать их можно лишь в соответствии с целями их сбора, нельзя сообщать их третьим лицам без согласия работника. Работо­датель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки ПД, разрешать до­ступ к ПД только уполномоченным работникам;

—    состав и перечень ваших мер по обеспечению защиты ПД.

Например, перечислите, где хранятся ПД, кто из ра­ботников имеет доступ к ним без дополнительного разре­шения, как оформляется допуск к ПД иным работникам, какие используются средства защиты информации в ком­пьютерах и т. п.;

  •  ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственность.

За нарушение порядка обработки ПД предусмотрена административная ответственность (ст. 13.11 КоАП РФ). Привлекают к ней судьи на основании проверочных материалов органов Роскомнадзора. Но органы Роскомнадзора по результатам проверок предпочитают выносить предписание об устранении выявленных нарушений. Если эти нарушения своевременно устранить, то опасаться штрафов не стоит. Кроме того, за несоблюдение порядка обработки ПД (как за нарушение трудового законодательства) пытаются штрафовать труд инспекции, но суды с ними не соглашаются.

Приказ о назначении ответственного лица

Работодатели (только организации) теперь должны назначать лицо, ответственное за организацию обработки ПД.

К уровню квалификации ответственного лица никаких требований нет. Поэтому это может быть любой ваш работник.

Для назначения ответственного работника издайте об этом приказ. Напри­мер, такой.

Общество с ограниченной ответственностью «Терра»

г. Москва                                 ПРИКАЗ № 25-к                                                                                 01.07.2011

Во исполнение положений п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» ПРИКАЗЫВАЮ:

  1. Назначить главного бухгалтера Тихонову М. А. с 04.07.2011 ответственной за органи­зацию обработки персональных данных.
  2. Внести изменения в должностную инструкцию Тихоновой М.А. в связи с новым на­значением.
  3. Установить Тихоновой М.А. ежемесячную доплату на время исполнения функций от­ветственного за организацию обработки персональных данных в размере 10% от должностного оклада.

Генеральный директор ООО «Терра»                               Ю.В. Иванов

С приказом ознакомлена, об ответственности за нарушение порядка обработки и за­щиты персональных данных работников, в том числе за их разглашение, предупреждена. «01» июля 2011       М.A. Тихонова

Согласие работника на обработку персональных данных

 ПРЕДУПРЕЖДЕНИЕ РУКОВОДИТЕЛЮ
Работники, считающие, что их ПД об­рабатываются с нарушениями, могут пожаловаться в органы Роскомнадзора. Последние обязаны рассмотреть обращение и провести внеплановую проверку. Поэтому во избежание лиш­ней нервотрепки лучше все же иметь основные документы по обработке и за­щите ПД.

Для обработки ПД работников лишь в целях исполнения трудового договора по­лучать у них согласие не нужно. Например, не понадобится согласие работника на указание его ПД в кадровой документации, на передачу ПД между структур­ными подразделениями работодателя, при оформлении на него доверенности на представительство. Также согласия не требуется и в случаях:

  • сбора ПД у соискателей, так как это делается в целях за­ключения трудового договора по их инициативе;
  • сдачи персонифицированной отчетности в органы ПФР, отчетности по НДФЛ в ИФНС, хранения документов с ПД в течение установленных сроков и в других подобных ситуа­циях, когда работодатель исполняет возложенные на него законодательством обязанности;

•     передачи ПД работников страховой компании в целях за­ключения договора на их добровольное медицинское стра­хование (ДМС) либо передачи ПД иным лицам для заключения иных договоров, по которым работник будет являться выгодоприобретателем;

•  обработки общедоступных ПД работников. Например, тех ПД работника, по которым он дал письменное согласие на их общедоступность.

В остальных случаях обработки ПД работников, в том числе передачи ПД тре­тьим лицам, у работников придется получать согласие. К примеру, при передаче:

  • сведений о должности и размере зарплаты работника банку, запрошенных им в связи обращением этого работника за получением кредита;
  • копий дипломов работников лицензирующему органу для получения лицензии;
  • ПД работников сторонней организации, оказывающей услуги по ведению бухучета.

                                                               СОГЛАСИЕ на обработку персональных данных

Я, Иванов Иван Иванович, паспорт серии 77 07 № 123456, выдан ОВД Лефортово г.  Москвы 15.08.2005, зарегистрированный по адресу: г. Москва, Романовский проспект, д. 10, кв.16, даю согласие ООО «Терра» (г. Москва, ул. Якиманка, д. 13, корп. 1) на передачу всех моих персональных данных, обрабатываемых им в целях исполнения заключенного между нами трудового договора и выполнения возложенных на него законодательством обязанностей, в ООО «Завал» (г. Москва, ул. Уральская, д. 20, корп. 1) в целях их любой обработки в рамках договора оказания услуг по ведению бухгалтерского учета б/н от 01.05.2011.

Настоящее согласие действует в течение всего срока действия трудового договора и может быть мною отозвано в письменном виде.

« 22 » августа 2011 г.

Документы по обеспечению доступа к персональным данным

Доступ к ПД работников должны иметь только специально уполномоченные лица. Поэтому перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться ПД, следует утвердить приказом.

 ПРЕДУПРЕЖДЕНИЕ РАБОТНИКАМ:  За разглашение ПД других работников вас могут уволить

В этот перечень войдут, например, руководитель, его заместители, работники отдела кадров, бухгалтерии, службы безопасности, юрист и даже секретарь, ведь часто именно он бронирует гостиницу и покупает билеты для работников, направляемых в командировку. Допуск к ПД иных работников следует фиксировать в журнале либо оформлять письменные разрешения руководителя.

Кроме того, с работников, имеющих доступ к ПД, следует взять расписку о неразглашении. А можно прописать такую обязанность и в трудовом договоре.

Трудовой договор № 15

г. Москва                                                                                                                                         17 октября 2011 г.

3. Обязанности Работника.

3.1. Работник обязуется соблюдать конфиденциальность в отношении любых персо­нальных данных, доступ к которым он получит при исполнении своих трудовых обязанностей, как в период действия настоящего договора, так и по его прекращении.

Документы по защите персональных данных в информационных системах

Если у вас есть информационные системы персональных данных (к примеру, про­грамма 1С или любая другая программа, содержащая ПД, даже таблицы в Excel), то вам нужно иметь целый пакет документов по защите обрабатываемых в ней ПД. Подробно рассматривать эту документацию я не буду. Ведь составлять ее — это работа не бухгалтера, а, скорее, системного администратора или даже стороннего специалиста.

Как видите, требований к обработке ПД уйма. Поэтому без Положения о ПД, в котором компактно собрано все самое необходимое для работы с такими данными, просто не обойтись. Ведь из него будет видно, какие ПД нужно со­брать с работников, как их обрабатывать и защищать (например, хранить доку­менты с ПД в сейфе, установить на компьютеры пароли, шифровать электрон­ные сообщения и документы с ПД, отсылаемые третьим лицам).

И не забывайте, что операторы обработки ПД — это не только работодате­ли. Поэтому законодательство о защите ПД нужно соблюдать при обработке ПД не только’работников, но и иных категорий физлиц. Например, если вы заключаете с гражданами какие-либо гражданско-правовые договоры, ведете в компьютере базу данных клиентов-физлиц или контактных лиц ваших контрагентов с указа­нием их ф. и. о., должности, номера телефона, даты рождения.

При этом самое важное — не разглашать ПД третьим лицам. Так будет мень­ше жалоб и, соответственно, проверок. Ведь по своей инициативе органы Роскомнадзора проверяют в основном только крупные компании, работающие с населением: банки, операторов связи, коммунальщиков, почту, медицинские клиники и др.

С Планом проверок Роскомнадзора можно ознако­миться на его сайте http://www.rsoc.ru в разделе «Планирование, отчеты о деятельности»    «Планы проверок».

Комментарии:

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.