Марина Шитова - Кадровая служба предприятия: делопроизводство, документооборот и нормативная база
2.2.3. Положение об обработке персональных данных работников
Положение об обработке персональных данных – это локальный нормативный акт, в котором в соответствии с главой 14 ТК РФ «Защита персональных данных работника» (ст. 85–90) регламентированы требования при обработке персональных данных работника, гарантии их за щиты, хранение и использование персональных данных, права работника по защите персональных данных и ответственность работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника.
Положение об обработке персональных данных утверждается и вводится в действие приказом руководителя предприятия и является обязательным для исполнения всеми работниками. При разработке данного положения рекомендуется руководствоваться следующими принципами:
• личная ответственность работников за сохранность и конфиденциальность сведений о персональных данных работников, а также носителей этой информации;
• разбиение знания персональных данных между разными работниками предприятия;
• недопущение свободного доступа работников к документам и материалам, содержащим сведения о персональных данных;
• наличие четкой разрешительной системы доступа работников предприятия к документам, делам и базам данных, содержащих персональные данные.
В первой части документа «Общие положения» дается определение цели, для которой создается Положение об обработке персональных данных. Целью создания данного документа является обеспечение защиты персональных данных сотрудников от несанкционированного доступа, неправомерного их использования или утраты. В этом же разделе представлен список документов, на основании которых разрабатывается Положение об обработке персональных данных (Конституция РФ, ТК РФ, КоАП РФ, ГК РФ, УК РФ, Федеральный закон «Об информации, информатизации и защите информации»). Также в первой части положения определяется порядок утверждения и введения в действие Положения об обработке персональных данных.
Во второй части положения дается определение понятию «персональные данные». «Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника». Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
В состав персональных данных работника может входить следующая информация:
• анкетные и биографические данные;
• сведения об образовании;
• сведения о трудовом и общем стаже;
• сведения о составе семьи;
• паспортные данные;
• сведения о воинском учете;
• сведения о заработной плате сотрудника;
• сведения о социальных льготах;
• наименование специальности;
• занимаемая должность;
• сведения о наличии судимостей;
• адрес места жительства;
• домашний телефон;
• место работы или учебы членов семьи и родственников;
• характер взаимоотношений в семье;
• содержание трудового договора;
• состав декларируемых сведений о наличии материальных ценностей;
• содержание декларации, подаваемой в налоговую инспекцию;
• подлинники и копии приказов по личному составу;
• личные дела и трудовые книжки сотрудников;
• основания к приказам по личному составу;
• дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
• копии отчетов, направляемые в органы статистики.
Персональные данные относятся к категории конфиденциальной информации. Работодатель не имеет права требовать от работника предоставления информации, касающейся других лиц. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
Следующий раздел документа регламентирует порядок работы с персональными данными сотрудников и может называться «Обработка персональных данных».
Персональные данные следует получать у самого работника. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Работодатель не имеет права требовать у работника данные о его политических, религиозных и иных убеждениях и частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.
Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
• разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;