"Учреждения образования: бухгалтерский учет и налогообложение", 2013, N 7
С обработкой персональных данных сотрудников имеют дело все организации, и образовательные учреждения здесь не являются исключением. Более того, бухгалтеры наряду со специалистами кадровой службы по роду своей деятельности первыми начинают работать с личными данными и персонала, и обучающихся. Какие внутренние документы необходимы учреждению, чтобы обеспечить защиту персональной информации?
Вопросы использования персональных данных регулируются гл. 14 ТК РФ, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) и рядом нормативных правовых актов, изданных во исполнение этого Закона. Пунктом 8 ст. 86 и положениями ст. ст. 87, 88 ТК РФ определено, что порядок хранения и использования личных данных работников устанавливает сам работодатель с соблюдением требований трудового законодательства и иных федеральных законов. Для этого он должен утвердить соответствующий локальный нормативный акт.
Аналогичная обязанность предусмотрена в п. 2 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ: в организации должны быть изданы документы, определяющие ее политику в отношении обработки персональных данных, локальные акты, касающиеся обработки таких данных, а также устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений.
Какие именно нормативные акты необходимо утвердить на локальном уровне, законодатель не уточняет. Однако практика показывает, что к ним, прежде всего, относится положение о персональных данных работников (оно же положение о порядке обработки и защите персональных данных работников, положение о персональных данных, их обработке и обеспечении безопасности и т.п.), которое является главным документом в рассматриваемой сфере, регулирует основные вопросы использования персональных данных и должно быть обязательно принято в образовательном учреждении .
Необходимость разработки и утверждения подобного внутреннего документа подтверждается и нормами других правовых актов федерального уровня. Например , в Постановлении Правительства РФ от 21.03.2012 N 211 <1> в качестве одного из обязательных действий государственного или муниципального органа названо утверждение актом его руководителя правил обработки персональных данных. Правила должны устанавливать процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных, а также определять:
По сути, перечисленные сведения в том или ином виде находят отражение в положениях о персональных данных, разработанных в организациях.
Следующий аргумент в пользу принятия рассматриваемого локального акта - его в числе прочих внутренних документов учреждения запрашивает при проверке государственный инспектор труда . Отсутствие же положения о персональных данных квалифицируется контролирующим органом как нарушение трудового законодательства. За это организация может быть привлечена к административной ответственности по ст. 5.27 КоАП РФ: должностному лицу грозит штраф в размере от 1000 до 5000 руб., а юридическому лицу - штраф в размере от 30 000 до 50 000 руб. или административное приостановление деятельности на срок до 90 суток.
Суды поддерживают позицию инспекций труда, подтверждая правомерность и обоснованность штрафных санкций за подобные нарушения. В частности, такие выводы содержатся в Постановлениях Московского городского суда от 29.08.2011 N N 4а-1742/11 и 4а-1743/11, ФАС МО от 01.11.2006, 08.11.2006 N КА-А40/10787-06.
В то же время важно, чтобы образовательное учреждение не только утвердило положение о персональных данных, но и под подпись ознакомило с ним своих работников (в силу п. 8 ст. 86 ТК РФ). Иначе нормы трудового законодательства будут нарушены, на что указано, например, в Постановлении Девятого арбитражного апелляционного суда от 17.08.2006, 24.08.2006 N 09АП-9595/06-АК.
Обратите внимание! Сотрудники должны письменно фиксировать факт ознакомления с положением о персональных данных. В противном случае (при отсутствии личной подписи) работодатель не сможет доказать, что работник действительно был ознакомлен с этим документом.
Для ознакомления можно создать отдельный журнал со списком сотрудников, где в соответствующей ячейке каждый поставит подпись и дату. Специалисты, принимаемые на работу после утверждения положения о персональных данных, также могут ставить свою подпись в журнале (либо для них факт ознакомления должен быть зафиксирован в тексте трудового договора).
Однако нужно избегать следующей ошибки: сначала включать в трудовой договор строку об ознакомлении с рассматриваемым локальным актом (и принимать по такому договору сотрудников на работу), а лишь потом утверждать положение о персональных данных. По этому поводу тоже сложилась судебная практика. В частности, Арбитражный суд г. Москвы Решением от 04.05.2006, 15.05.2006 по делу N А40-17389/06-146-165 признал правомерными действия государственной инспекции труда по привлечению организации к административной ответственности и подтвердил факт нарушения законодательства о труде и об охране труда. Из материалов дела следовало, что работник расписался в трудовом договоре об ознакомлении с положением о персональных данных, хотя само положение было принято в организации только полтора года спустя. Таким образом, была нарушена норма п. 8 ст. 86 ТК РФ, которая устанавливает обязанность работодателя знакомить персонал под подпись с документами, касающимися обработки личных данных работников, а также их прав и обязанностей в этой области.
В положении о персональных данных должны быть раскрыты основные вопросы, связанные с получением, использованием и защитой личной информации. А поскольку образовательные учреждения обрабатывают личные данные не только своих сотрудников, но и обучающихся и их родителей, эту особенность также необходимо отразить в рассматриваемом локальном акте.
Положение о персональных данных, как правило, включает в себя следующие разделы:
Рассмотрим содержание некоторых разделов более подробно.
Здесь следует указать цель создания документа (защита информации, относящейся к личности и личной жизни работников и обучающихся образовательного учреждения) и вопросы, которые он регулирует (порядок получения, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным). В этом разделе также должны быть даны ссылки на правовые акты, на основании которых разработано положение о персональных данных: Конституция РФ, ТК РФ, Федеральный закон N 152-ФЗ, Постановления Правительства РФ от 15.09.2008 N 687 <2>, от 01.11.2012 N 1119 <3> и др.
<2> "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
<3> "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Кроме того, нелишним будет указать, что положение о персональных данных и изменения к нему утверждаются приказом руководителя образовательного учреждения, а также что локальный акт является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.
Определения основных понятий в области персональных данных приведены в ст. 3 Федерального закона N 152-ФЗ. Прежде всего, в этом разделе целесообразно раскрыть содержание терминов "персональные данные" (в соответствии с п. 1 ст. 3 Федерального закона N 152-ФЗ) и "обработка персональных данных" (в соответствии с п. 3 ст. 3 Федерального закона N 152-ФЗ). Отдельно могут быть даны определения персональным данным работника (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника) и обучающегося (информация, необходимая образовательному учреждению в связи с отношениями, возникающими между обучающимся, его родителями (законными представителями) и учреждением).
Что касается состава личных данных, перечень таких сведений законодательно не установлен. Так, в п. 2 ст. 86 ТК РФ сказано, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами. То есть круг сведений устанавливается в локальном нормативном акте организации - положении о персональных данных.
Здесь важно разграничить персональные данные работника и обучающегося , а также документы, содержащие эту информацию. Некоторые из сведений приведены в таблице.
| Субъект персональных данных | Состав персональных данных | Документы, содержащие персональные данные |
| Работник | - паспортные данные; - ИНН, номер страхового свидетельства государственного пенсионного страхования; - сведения об образовании, специальности; - сведения о трудовом и общем стаже, предыдущем месте работы; - сведения о заработной плате сотрудника, социальных льготах, наличии судимостей, результатах медицинского обследования на предмет осуществления трудовых функций; - сведения о семейном положении и составе семьи; - адрес места жительства; - номер домашнего, сотового телефона и др. | - копия паспорта; - копии ИНН, страхового свидетельства государственного пенсионного страхования; - копия документов об образовании, квалификации или наличии специальных знаний; - анкета, заполненная при поступлении на работу; - медицинские справки о состоянии здоровья на предмет годности к осуществлению трудовых обязанностей; - трудовой договор; - трудовая книжка; - личное дело и др. |
| Обучающийся | - сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность; - информация, содержащаяся в личном деле обучающегося; - информация об успеваемости; - информация о состоянии здоровья; - адрес места проживания и др. | - копия паспорта или иного документа, удостоверяющего личность; - личное дело; - документы о состоянии семьи; - документы о состоянии здоровья и др. |
Требования, которые должны соблюдаться при обработке личных данных, приведены в ст. 86 ТК РФ и ст. ст. 6, 9 Федерального закона N 152-ФЗ. Например , в этом разделе можно прописать, что все персональные данные следует получать у самого работника или обучающегося (его родителей), а также что использование данных возможно только в соответствии с целями, определившими их получение. Целесообразно обозначить и сроки хранения документов.
Здесь же можно указать, что организация вправе обрабатывать персональную информацию только с согласия граждан, которым такие сведения принадлежат (п. 1 ч. 1 ст. 6 Федерального закона N 152-ФЗ). Однако при этом нужно учитывать следующие особенности.
Кроме того, получение организацией согласия сотрудника не требуется, если обязанность по обработке, в том числе по опубликованию и размещению персональных данных работников в Интернете, предусмотрена законодательством РФ (п. 1 Разъяснений Роскомнадзора). Например , в отношении образовательных учреждений такая обязанность определена Постановлением Правительства РФ от 18.04.2012 N 343 <5>. Согласно этому документу учреждение должно размещать на своем официальном сайте в том числе информацию, содержащую персональные данные: фамилии, имена, отчества руководителя учреждения и руководителей структурных подразделений, графики их работы, адреса электронной почты, а также фамилии, имена, отчества педагогических работников, их должности, уровень образования, квалификация и др.
<5> "Об утверждении Правил размещения в сети Интернет и обновления информации об образовательном учреждении".
Поскольку доступ к личным данным разрешен только специально уполномоченным лицам (абз. 6 ст. 88 ТК РФ), в этом разделе указывается круг таких лиц. В частности, внутренний доступ могут иметь следующие сотрудники: руководитель учреждения, его заместители, главный бухгалтер, бухгалтер, делопроизводитель, сам субъект персональных данных (работник или обучающийся (его родитель)). Здесь достаточно назвать должности уполномоченных сотрудников и перечень сведений, к которым имеет доступ каждый из них. К примеру, можно указать, что делопроизводитель имеет право доступа ко всем персональным данным; главный бухгалтер, бухгалтер - к сведениям о служебном положении, составе семьи, а также к сведениям, имеющим отношение к начислению заработной платы, налогов и иных обязательных платежей. А вот поименный список конкретных лиц следует утвердить отдельным приказом.
Внешний доступ к персональным данным могут иметь государственные органы (учредитель, налоговая инспекция, правоохранительные органы, органы статистики, органы социального страхования, подразделения ПФР и др.). В числе других пользователей - иные организации (сведения о работающем или уволенном сотруднике могут быть предоставлены только на основании их письменного запроса), а также родственники и члены семей (передача сведений возможна при письменном разрешении самого субъекта персональных данных).
Согласно п. 7 ст. 86 ТК РФ защиту персональной информации от неправомерного использования или утраты должна обеспечивать сама организация за счет своих средств. Поэтому в данном разделе следует определить формы хранения документов, содержащих персональные сведения . Такой формой, например, может быть хранение соответствующих документов в запирающихся шкафах либо сейфах, обеспечивающих защиту от несанкционированного доступа, или защита персональных компьютеров паролями доступа (при хранении сведений в электронном виде).
Кроме того, здесь может быть установлен круг лиц, которые вправе отвечать на письменные запросы о предоставлении информации (например, сведения могут предоставлять только уполномоченные лица), форма ответов на письменные запросы других организаций (на бланке учреждения и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках). Целесообразно определить и возможность передачи информации, содержащей персональные данные, по телефону, факсу, электронной почте (например, это запрещается либо для этого необходимо письменное согласие субъекта персональных данных).
Помимо положения о персональных данных и документа, в котором фиксируется факт ознакомления сотрудников с указанным положением, образовательному учреждению необходимо разработать другие локальные акты в области защиты персональных данных. Жестких требований об их количестве законодатель не устанавливает. В ч. 1 ст. 18.1 Федерального закона N 152-ФЗ лишь говорится о том, что организация должна самостоятельно определить состав и перечень мер, необходимых и достаточных для выполнения обязанностей, предусмотренных законодательством РФ в области персональных данных. Это меры организационного, правового и технического характера.
Пакет локальных актов может быть дополнен следующими документами, с которыми соответствующие работники тоже должны ознакомиться под подпись.
Образовательное учреждение может разработать и другие внутренние документы, например о мерах, принимаемых для обеспечения безопасности персональных данных.
Г.Зайцева
Эксперт журнала
"Учреждения образования:
бухгалтерский учет и налогообложение"
Образовательная организация должна обеспечивать защиту сведений, составляющих государственную или иную охраняемую законом тайну при реализации образовательных программ с применением электронного обучения либо (ст. 16 № 273-ФЗ). Здесь возникает вопрос использования таких сведений, как персональные данные в образовательном учреждении.
В статье 28 закона «Об образовании» не указана обязанность образовательной организации по обеспечению . Однако хотелось бы подчеркнуть, что существует отдельный отраслевой закон «О персональных данных» № 152-ФЗ, который определяет в качестве оператора любое юридическое лицо, которое осуществляет обработку персональных данных. Данное определение настолько широкое, что под него подпадает и деятельность образовательной организации.
Особенностью закона № 152-ФЗ является то, что он, возлагая ответственность по надлежащей обработке, при этом оставляет полную свободу при разработке локальной нормативной базы. Таким образом, образовательная организация свободна в перечне данных. Рассмотрим их примерный список.
Основной локальный акт по защите персональных данных в образовательной организации называется «Положение об обработке персональных данных». Необходимо учитывать основную ошибку, которую часто допускают при разработке такого важного документа - не учитываются все субъекты, данные которых обрабатываются.
Согласно федеральному закону № 152, обрабатывается информация разных субъектов (работников, обучающихся, родителей). Можно издать целых два таких положения: в отношении работников и в отношении обучающихся/воспитанников. Но возможно обойтись одним документом, это решение сугубо индивидуальное.
При разработке этого локального акта в образовательной организации необходимо учитывать следующие основные вопросы:
Какие документы регламентируют работу с персональными данными? Необходимо перечислить все документы.
Какие персональные данные обрабатываются и в каких документах содержатся?
Каковы условия получения и (что немаловажно) хранения персональных данных? Существуют требования законодательства к условиям их хранения.
Какая ответственность установлена за нарушение законодательства? Укажите ответственность по защите персональных данных именно в вашей образовательной организации.
Как осуществляется доступ работников к персональным данным?
Как осуществляется доступ лиц, не являющихся работниками (это родители, медицинские работники, представители государственных и муниципальных органов, учредители)?
Как выше уже было сказано, локальный акт образовательной организации может быть единым, в котором урегулированы все вопросы. В развитие его могут быть приняты типовые формы обработка персональных данных в школе, такие как «Форма согласия», например.
Помимо локальных актов в образовательной организации могут существовать другие подписанные работниками документы по защите:
Если говорить о документе «Согласие на обработку персональных данных», то оно может даваться по разным поводам, в зависимости от целей обработки таких сведений. Главное - это соблюсти определенную форму, обусловленную законодательством.
Также к документам, касающихся защиты персональных данных в образовательной организации, могут быть отнесены уведомления, например, о получении персональных данных от третьих лиц, запросы и заявления.
Необходимо учитывать, что каждая образовательная организация является уникальной, в том числе в части использования, обработки и защиты персональных данных в школе. Возможно, образовательная организация вообще не обрабатывает персональные данные автоматизированным способом, а только осуществляет обработку без использования средств автоматизации. Соответственно, перечень локальных актов будет совершенно другим.
Параллельно ведомство дает разъяснения. В том числе, и о форме локального нормативного акта (далее ЛНА) в области обработки персональных данных. Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации.
2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.
3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений.
Например, ЛНА могут определять:
Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.
Примеры целей:
Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям.
Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email.
Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья). Доступ к персональным данным
В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным.
Внутренний доступ.
Может быть полным и ограниченным.
При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников.
При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки).
Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч. 1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).
Назначить можно прямым приказом работодателя или прописать должность в ЛНА.
Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.).
Ответственный сотрудник будет:
В ЛНА нужно указать:
Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.).
Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз.
Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.).
Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений). Обеспечение конфиденциальности данных
В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных.
Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21):
Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч.
В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687). Копировать информацию из журнала нельзя.
В ЛНА нужно закрепить:
Локальный нормативный акт можно опубликовать на сайте компании, на внутреннем портале организации, наконец, на стендах в офисе. Главное — донести информацию до реальных и потенциальных субъектов персональных данных (сотрудников, партнеров и проч.).
При составлении локальных нормативных актов работодателям нередко приходится учитывать требования не только трудового законодательства, но и иных федеральных законов и нормативных правовых актов ().
За последний год было принято несколько актов, в том числе и судебных, которые могут напрямую повлиять на позицию проверяющих органов. Разберемся, наличие каких положений следует проверить в локальных актах и включить их туда в случае их отсутствия, чтобы избежать административной ответственности.
1 июля текущего года вступило в силу положение, согласно которому стали обязательны для применения работодателями, если это предусмотрено ТК РФ, законами и иными нормативными правовыми актами (). До этого они за некоторым исключением носили лишь рекомендательный характер – обязательными они были, например, для педагогических работников (ст. 46 Федерального закона от 29 декабря 2012 г. № 273-ФЗ " ").
Положения должностной инструкции, разработанной в соответствии с требованиями профстандарта, также можно использовать при подборе персонала. Обязанность непосредственного руководителя и/или отдела кадров указывать соответствующие требования к кандидатам при составлении бланка заявки может быть также прописана в Положении о найме, ротации и увольнении персонала.
ПОЛЕЗНЫЕ СЕРВИСЫ
Таким образом, при составлении отказа работодателю останется лишь сослаться на конкретную должностную инструкцию и указать те требования этого документа, которым соискатель не соответствует.
Однако стоит иметь в виду, что такое требование, как отсутствие у кандидата вредных привычек, считается дискриминационным, поскольку оно не относится к деловым качествам работника. К такому выводу в мае это года Тверской районный суд г. Москвы. Следовательно, наличие данного требования в должностной инструкции и/или Положении о найме, ротации и увольнении персонала также может быть признано дискриминацией.
Нужно ли работодателю проверять квалификацию уже работающих в организации сотрудников на соответствие профстандарту, если для данной категории специалистов он стал обязателен?
Кроме того, работодатель вправе провести аттестацию работников. Так, уточняет ведомство, при применении квалификационных справочников и профессиональных стандартов лица, не имеющие специальной подготовки или стажа работы, установленных в разделе "Требования к квалификации", но обладающие достаточным практическим опытом и выполняющие качественно и в полном объеме возложенные на них должностные обязанности, по рекомендации аттестационной комиссии назначаются на должности так же, как и лица, имеющие специальную подготовку и стаж работы.
Однако если работодатель считает, что работник не справляется со своими обязанностями, он может признать его по результатам аттестации не соответствующим занимаемой должности (). По общему правилу Положение об аттестации обязательным локальным нормативным актом не является, а значит, его отсутствие не повлечет за собой административную ответственность. Но если работодатель хочет проверить квалификацию своих работников и привести ее в последующем в соответствие определенным требованиям либо уволить не отвечающих этим требованиям сотрудников по , без такого Положения не обойтись. Исключения составляют только случаи, когда обязательная аттестация регламентирована законом или подзаконным нормативным правовым актом (например, Приказ Министерства образования и науки РФ от 7 апреля 2014 г. № 276 " ").
В Положении об аттестации могут быть перечислены все основания и условия, при которых сотрудника, не прошедшего аттестацию, "условно" допускают к работе – например, при последующем обучении за счет работодателя, повышении его квалификации и повторной переаттестации. Однако лучше избегать таких положений – оставьте только два основных вывода аттестационной комиссии: соответствует занимаемой должности и не соответствует занимаемой должности.
С 1 сентября 2015 года при сборе персональных данных операторы обязаны обеспечивать локализацию персональных данных россиян на серверах, расположенных на территории России (ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ " "; далее – закон о персональных данных). И работодатель, поскольку он является оператором, также обязан соблюдать указанное требование. Принимать новые локальные акты закон не требует, а вот коррективы в уже существующие следовало внести еще до сентября прошлого года.
Деятельность компании в части защиты персональных данных, как правило, регламентируют два документа: Политика обработки персональных данных и Положение о защите, хранении, обработке и передаче персональных данных работников.
Собственно, локальным нормативным актом является только Положение, которое распространяется на сотрудников организации. Однако в поле зрения компании часто попадают и персональные данные, которые касаются третьих лиц (контрагентов, клиентов, родственников сотрудников и др.). Порядок работы с этими данными как раз и фиксируется в Политике. "Политику о порядке обработки персональных данных мы должны сделать публичной (). Проще всего разместить ее на своем сайте. Но есть организации, у которых нет сайта – в этом случае, как правило, рядом с тем местом, где посетителям оформляются пропуска, вешают кармашек, в который вкладывается Политика на бумажном носителе. Любой человек сможет ее вынуть и изучить", – уточнила 5 июля на конференции, организованной "АСЭРГРУПП", к.ю.н., доцент кафедры трудового права Национального исследовательского университета "Высшая школа экономики", ведущий научный сотрудник отдела законодательства о труде и социальном обеспечении Института законодательства и сравнительного правоведения при Правительстве РФ Татьяна Коршунова . Соблюдение указанных требований может не только ГИТ, но и сотрудники Роскомнадзора.
И в Политике, и в Положении должно быть условие о том, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Кроме того, нужно указать место нахождения такой базы данных.
"Иногда спрашивают, нельзя ли совместить два эти документа в одном. Конечно, можно, но только локальные акты не предусмотрены для того, чтобы ими руководствовались третьи лица. Например, зачем знакомить с ним человека, который по доверенности получает товар? Это будет нелогично", – заключает Татьяна Коршунова.
В начале года Европейский суд по правам человека (ЕСПЧ) право работодателя контролировать переписку сотрудников в рабочее время . Суть спора состояла в том, что сотрудник, уволенный из компании за использование служебного аккаунта для личного общения, счел действия работодателя по чтению находящихся в мессенджере сообщений нарушением его права на тайну переписки. ЕСПЧ, однако, встал на сторону работодателя, отметив, что тот вправе знать, чем занимается его сотрудник в рабочее время, и контролировать деятельность работников по использованию Интернета только для осуществления профессиональной деятельности. Тем более, что использование корпоративного аккаунта в личных целях было прямо запрещено корпоративными правилами, и работник был предупрежден о возможных проверках.
Таким образом, Суд признал право работодателя проверять переписку сотрудников.
"Отслеживать содержание корпоративной почты, интернет-траффик, использование компьютера – законное право работодателя. Что и подтвердил ЕСПЧ в указанном выше решении", – порталу ГАРАНТ.РУ эксперт центра правового содействия законотворчеству "Общественная Дума" Сергей Слесарев .
Аналогичные выводы есть и в решении российских судов (Апелляционное определение Верховного суда Республики Башкортостан от 1 декабря 2015 г. по делу № 33-17852/2015, ).
С тем, чтобы исключить уголовную ответственность за и обезопасить себя от претензий со стороны сотрудников, желательно включить условие о проверке корпоративной переписки в Правила внутреннего трудового распорядка или иной локальный акт.
МНЕНИЕ
Татьяна Коршунова, к.ю.н., доцент кафедры трудового права Национального исследовательского университета "Высшая школа экономики", ведущий научный сотрудник отдела законодательства о труде и социальном обеспечении Института законодательства и сравнительного правоведения при Правительстве РФ:
"В Правилах внутреннего трудового распорядка или в специальном документе о пользовании корпоративной почтой работодатель должен зафиксировать, что корпоративная почта может использоваться исключительно для деловой переписки. Использование корпоративного почтового ящика для личных целей не допускается. Также следует указать, что работодатель имеет право в любой момент проверить корпоративную почту сотрудника.
Когда работник заранее знакомиться с данным локальным актом и ставит свою подпись, он дает работодателю свое согласие на это. Если ему не хочется, чтобы кто-то проверял его корпоративную почту, значит он просто ищет другую работу".
Складывающаяся судебная практика подтверждает законность проверки работодателем не только корпоративной электронной почты сотрудников, но и их активности в социальных сетях. Частое посещение сайтов, не имеющих прямого отношения к выполняемой работе, может быть признано нарушением трудовой дисциплины и в разных случаях послужить основанием для сокращения должности работника на 0,5 ставки, объявления выговора и даже для увольнения (апелляционное определение Новгородского областного суда от 6 июня 2012 г. по делу № 2-1935/12-33-823, апелляционное определение Рязанского областного суда от 11 февраля 2015 г. № 33-335, апелляционное определение Омского областного суда от 12 февраля 2014 г. по делу № 33-649/2014).
Обязанность использовать корпоративный компьютер исключительно в рабочих целях, а также право работодателя проверять соблюдение сотрудниками этой обязанности, также стоит закрепить в Правилах внутреннего трудового распорядка.
Подводя итог, можно отметить, что сфера трудовых отношений чувствительна к изменениям даже в областях, далеких от трудового законодательства. Учитывать ли все нововведения в локальных нормативных актах, каждый работодатель решает самостоятельно. Однако своевременная корректировка основных документов компании способна обезопасить от претензий со стороны проверяющих органов и, как следствие, от административной ответственности.
ЛОКАЛЬНЫЕ АКТЫ, РЕГЛАМЕНТИРУЮЩИЕ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Гультяева К.И.
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
«Тюменский государственный университет»
rok
_1212_92@
mail
.
ru
Для выполнения своих обязательств в рамках трудового, налогового и бухгалтерского законодательства работодатель должен использовать и оперировать персональными данными работника. Однако закон о персональных данных требует от работодателя, который в данном случае является «оператором персональных данных» и выполняет «обработку персональных данных» , обеспечить безопасность этой информации.
В соответствии с гл. 14 ТК РФ каждая организация обязана разработать и ввести в действие локальные нормативные акты, которые определяют порядок работы с персональными данными ее работников.
Такими локальными актами, как правило, являются:
Положение об обработке и защите персональных данных;
Приказ об утверждении обязательств о неразглашении персональных данных;
Перечень должностей, допущенных к персональным данным;
Приказ о назначении ответственных лиц за организацию обработки персональных данных;
Согласие на обработку персональных данных работника Оператора, иных субъектов персональных данных;
Для выполнения всех требований законодательства работодатель должен соблюсти ряд условий обработки персональных данных. Перед заключением трудового договора работник должен дать согласие на обработку персональных данных. В этом согласии должны быть указаны следующие сведения:
Согласно ст. 9 Закона №?152?ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Оно может быть дано работником (его представителем) в любой позволяющей подтвердить факт его получения форме (письменной, в форме электронного документа, подписанного в соответствии с Федеральным законом от 06.04.2011 №?63?ФЗ «Об электронной подписи» электронной подписью).
Положение о защите персональных данных работников. Этот документ регламентирует в рамках отдельной организации требования к получению, обработке персональных данных работника, установить гарантии их защиты, порядок хранения и использования, а также права работника по защите его персональных данных и ответственность работодателя за их охрану и защиту. Иными словами, организация на основе российского законодательства и с учетом особенностей кадрового учета создает и закрепляет нормативным актом порядок работы с персональными данными.
В Положении должны быть указаны:
Цель и задачи фирмы в области защиты персональных данных;
Понятие и состав персональных данных;
В каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
Как происходит сбор персональных данных;
Как они обрабатываются и используются;
Кто (по должностям) в пределах фирмы имеет к ним доступ;
Как персональные данные защищаются от несанкционированного доступа;
Права работника в целях обеспечения защиты своих персональных данных;
Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
При его разработке используют общие правила оформления организационных документов: в заголовочной части указываются наименование организации, дата и номер документа, в правом верхнем углу располагается гриф утверждения.
Положение об обработке и защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя.
В разделе «Общие положения» формулируется цель разработки персональных данных, даются ссылки на законодательные акты, на основании которых создан документ, определяется порядок введения положения в действие и порядок его пересмотра. Здесь же устанавливается конфиденциальность информации и ответственность должностных лиц организации за разглашение персональных данных.
Второй раздел, «Состав персональных данных работника», включает список данных работника, которые он сообщает работодателю при наступлении трудовых отношений, и сведений, возникающих в ходе этих отношений. Кроме того, здесь должна содержаться информация, необходимая организации для предоставления в военкоматы, органы налоговой службы, социального обеспечения, Пенсионного фонда. Раздел небольшой по объему, но принципиально важный для работников организации. Так, в него могут войти следующие сведения:
В разделе «Создание, обработка, хранение персональных данных», как правило, содержится информация о структурных подразделениях организации (или о должностных лицах), которые работают с персональными данными. Здесь же следует указать виды носителей (только традиционная бумажная форма, сочетание традиционной и электронной формы), на которых фиксируются персональные данные.
В четвертом разделе, «Доступ к персональным данным», устанавливается порядок пользования персональными данными каждым структурным подразделением организации. Оговаривается порядок доступа к ним должностных лиц и работника, к которому эти сведения относятся, третьих лиц по доверенности работника, порядок предоставления персональных данных другим организациям и гражданам. Например: «Персональные данные работников организации предоставляются в установленном порядке в органы Пенсионного фонда РФ, в органы социального обеспечения, контрольно-надзорным органам. Персональные данные работников организации предоставляются страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам при наличии копии договора с работником и его письменного согласия».
В разделе положения, «Защита персональных данных», перечисляются меры защиты информации от несанкционированного доступа и разглашения. Необходимо указать, в каких структурных подразделениях организации хранятся документы и электронные носители, содержащие персональные данные. Это может быть служба кадров, бухгалтерия, служба безопасности, отдел режима и т.д. Следует описать меры защиты данных, хранящихся в бумажной форме, – запирающиеся шкафы, сейфы, опечатанное помещение, пропускной режим и т.п., а также меры защиты сведений на электронных носителях.
В разделе «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников» прописывается ответственность лиц, нарушивших данный документ.
Положение о защите персональных данных подписывается руководителем кадровой службы. Документ может быть согласован с заинтересованными должностными лицами, например работниками бухгалтерии, юридической службы, службой безопасности и др. С ним следует ознакомить весь персонал организации под расписку.
Сотрудники, принимаемые на работу, знакомятся с положением о защите персональных данных точно так же, как и с другими локальными актами организации – коллективным договором, правилами внутреннего трудового распорядка, положением об оплате труда, должностной инструкцией и др. При этом в соответствии со ст. 68 ТК РФ такое ознакомление проводят под роспись и до подписания трудового договора.
Мерой защиты персональных данных является и обязательство должностных лиц организации о неразглашении персональных данных. (Приложение 4) В соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» работа с такими сведениями считается неавтоматизированной при непосредственном участии человека.
Следовательно, от всех сотрудников организации, имеющих отношение к получению, обработке, хранению персональных данных, должны быть получены расписки о неразглашении. Форма такой расписки может быть дана в приложении к документу. Сами расписки должны храниться в одном деле с подлинником положения. По мере смены должностных лиц эти обязательства должны обновляться.
Далее согласно ст. 6 Положения № 687 все работники работодателя, работающие с персональными данными, должны быть проинформированы о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки. Для реализации этой нормы права целесообразно заключить со всеми работниками соответствующий договор.
В этом документе, который может быть частью соответствующего трудового договора, должны быть указаны обязанности работников, их ответственность за нарушения режима конфиденциальности.
Можно сказать, что защита, хранение и обработка конфиденциальной информации (персональных данных) является трудоёмкой и для этого в организациях разрабатывается много важных документов.
Список использованных источников:
1. Герасимов Е.С. Трудовое право России: учебник для бакалавров / Е.С. Герасимов, Ю.П. Орловский.-М.:Изд. Юрайт, 2014. - 854 с.
2. Давыдова Е.В. Персональные данные работников / Е. В. Давыдова // Отдел кадров коммерческой организации. - 2015. - №3.
3. Соколова Г.А. Персональные данные работников / Г. А. Соколова // Кадровая служба и управление персоналом предприятия. - 2013. - №7.
4. Тихомирова Л. В. Защита персональных данных работника: учеб.-практ. пособие / Л.В. Тихомирова. - М.: 2013.
5. Как оформить Положение о защите персональных данных сотрудников [Электронный ресурс] / Справ. бухгалтера. - 2014. - http://www.buhgalteria.ru/article/n50559
