"Финансовые и бухгалтерские консультации", 2007, N 6

ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

Принятие в минувшем году Закона об информации <1> и Закона о персональных данных <2> ввело в поле правового регулирования общественные отношения, ранее не затронутые влиянием национального права. Круг информационных процессов, регламентированный правовыми нормами, значительно расширился и упорядочился. Изменены во многом и ранее действовавшие правовые нормы, относящиеся к реализации информационной свободы.

     
   ————————————————————————————————
   

<1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

<2> Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

Не осталась без изменений и такая область отношений, как информационные процессы в сфере взаимодействия работника и работодателя. В условиях постоянного роста обработки информации с помощью электронных средств и при возможности практически мгновенной передачи информации в любую точку мира обеспечение сохранности персональных данных человека, работника становится особенно актуальным, так как их бесконтрольное использование фактически нивелирует область минимальной свободы человека, вторгается в его частную жизнь.

Согласно положениям ст. ст. 23, 24 и 29 Конституции РФ, Трудового кодекса РФ и Закона "О коммерческой тайне" <3> на каждом предприятии должен быть урегулирован порядок обработки персональных данных работника. Это необходимо в интересах как работника, так и работодателя и позволит избежать возможных споров и претензий в достаточно деликатной сфере частной жизни человека.

     
   ————————————————————————————————
   

<3> Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне". Разработанное и предложенное автором положение об обработке персональных данных работника основано на действующем законодательстве РФ с учетом произошедших изменений и направлено на защиту прав работника при обработке его персональных данных работодателем. Не секрет, что работодатель имеет в своем арсенале набор как правовых, так и экономических методов воздействия на работника, которые порой позволяют практически полностью нивелировать права работника. Таким образом, представляется целесообразным в данном случае урегулировать информационные отношения между работником и работодателем именно с позиции придания защите прав работника решающей роли. По мнению автора, приведенное положение поможет регулированию прав и обязанностей как работника, так и работодателя в сфере информационных процессов с позиции главенствования информационной свободы. Положение о персональных данных работников 1. Общие положения. 1.1. Настоящее Положение определяет порядок обработки персональных данных работников Компании. 1.2. Целью настоящего Положения является регулирование информационных процессов в сфере обработки персональных данных работников Компании. 1.3. Основанием для разработки данного Положения являются: - Конституция РФ; - Трудовой кодекс Российской Федерации; - Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"; - Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и пр. 2. Понятие и состав персональных данных. Под персональными данными работника (работников) Компании понимается информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (далее - Работнику), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, и иная информация, которая необходима работодателю в связи с реализацией трудовых отношений между работодателем и Работником. На лиц, которые представили Компании персональные данные в целях реализации трудовых отношений, но трудовой договор с ними заключен не был, или прекратили трудовые отношения с Компанией, данное положение распространяется в части, не противоречащей положениям Закона о персональных данных. 3. Принципы обработки персональных данных. 3.1. Персональные данные обрабатываются на основе принципов: а) законности целей и способов обработки персональных данных и добросовестности; б) обеспечения соблюдения законов и иных нормативных правовых актов, содействия Работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности Работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; в) соответствия объема и характера обрабатываемых персональных данных, способов их обработки целям обработки персональных данных. Компания не имеет права получать и обрабатывать персональные данные Работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Компания вправе получать и обрабатывать данные о частной жизни Работника только с его письменного согласия. Компания не имеет права получать и обрабатывать персональные данные Работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ; г) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к заявленным при их сборе целям. Все персональные данные Работника следует получать у него самого. Если их возможно получить только у третьей стороны, то Работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Компания должна сообщить Работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Работника дать письменное согласие на их получение; д) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. При принятии решений, затрагивающих интересы Работника, Компания не имеет права основываться на персональных данных Работника, полученных исключительно в результате их автоматизированной обработки или электронного получения; е) защиты персональных данных Работника от неправомерного доступа и их использования или утраты. Компания должна обеспечить такую защиту за счет собственных средств и в порядке, установленном законодательством РФ. 3.2. Компания и ее представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных Работников, а также об их правах и обязанностях в этой области. 3.3. Работники не должны отказываться от своих прав на сохранение и защиту тайны. 3.4. Компания, Работники и их представители должны совместно вырабатывать меры защиты персональных данных Работников. 3.5. Персональные данные должны храниться в форме, позволяющей определить субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. 4. Права Работника в целях обеспечения защиты персональных данных, хранящихся у Компании. В целях обеспечения защиты персональных данных, хранящихся у Компании, Работник имеет право: а) на полную информацию об его персональных данных и обработке этих данных; б) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Работника, за исключением случаев, предусмотренных федеральным законом; в) определение своих представителей для защиты персональных данных; г) доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору; д) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований закона. При отказе Компании исключить или исправить персональные данные Работника он имеет право заявить в письменной форме Компании о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера Работник имеет право дополнить заявлением, выражающим его собственную точку зрения; е) требование об извещении Компанией всех лиц, которым ранее были сообщены неверные или неполные персональные данные Работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; ж) обжалование в суде любых неправомерных действий или бездействия Компании при обработке и защите его персональных данных. 5. Обязанности компании в сфере обработки персональных данных Работника. 5.1. В целях обеспечения защиты персональных данных и соблюдения законодательства РФ Компания обязана: а) обеспечивать конфиденциальность персональных данных Работника, не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания; б) не включать в общедоступные источники персональных данных (в том числе справочники, электронные базы данных и пр.) без письменного согласия Работника его персональные данные; в) в любое время исключать из общедоступных источников персональных данных по требованию Работника сведения, относящиеся к его персональным данным; г) получать согласие от Работника о предоставлении его персональных данных, в том числе в адрес Компании; д) в установленных законодательством случаях получить письменное согласие Работника на обработку его персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни); е) получить специальное письменное согласие в случае необходимости обработки сведений, которые характеризуют физиологические особенности Работника и на основе которых можно установить его личность (биометрические персональные данные); ж) уточнять персональные данные Работника по его требованию, блокировать их или уничтожить, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; з) предоставить Работнику по его требованию сведения о наличии у Компании его персональных данных, а также их содержание; и) предоставить Работнику информацию, касающуюся обработки его персональных данных, в том числе содержащую: - подтверждение факта обработки персональных данных Компанией, а также цель такой обработки, - способы обработки персональных данных, применяемые Компанией, - сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ, - перечень обрабатываемых персональных данных и источник их получения, - сроки обработки персональных данных, в том числе сроки их хранения, - сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных; к) не принимать решения исключительно на основании автоматизированной обработки персональных данных (за исключением случаев, на которые имеется письменное согласие Работника); л) при сборе персональных данных по запросу Работника предоставить ему информацию в соответствии с пп. "и" п. 5 настоящего Положения; м) в связи с необходимостью предоставления персональных данных в соответствии со ст. 65 Трудового кодекса Российской Федерации разъяснить Работнику последствия отказа в предоставлении персональных данных. 5.2. Если персональные данные были получены не от Работника, за исключением случаев, когда данные были предоставлены оператору на основании федерального закона или когда данные являются общедоступными, Компания до начала обработки таких персональных данных обязана предоставить Работнику следующую информацию: - наименование (либо фамилия, имя, отчество) и адрес оператора или его представителя; - цель обработки персональных данных и ее правовое основание; - предполагаемые пользователи персональных данных Работника; - установленные ТК РФ и Законом о персональных данных права Работника, связанные с обработкой персональных данных. 6. Реализация прав и обязанностей Компании и Работника. 6.1. При приеме на работу Компания формирует личное дело Работника. В личном деле указываются персональные данные Работника, представленные им Компании при приеме на работу, а также информация, относящаяся к трудовым отношениям между Работником и Компанией. Компания назначает сотрудника, ответственного за ведение личного дела Работника. Ответственный сотрудник выполняет оперативное пополнение информации, содержащейся в личном деле Работника. Копии документов подлежат хранению в личном деле и при необходимости заверяются ответственным сотрудником. Сотрудники компании могут использовать информацию из личного дела Работника, только если такое использование необходимо в связи с выполнением ими их должностных обязанностей, при этом такие сотрудники уведомляются об ответственности за разглашение персональных данных Работника. Компания ведет учет сотрудников, получивших доступ к персональным данным Работника. Работник имеет право в любое время беспрепятственно бесплатно ознакомиться с информацией, находящейся в личном деле, обратившись к ответственному лицу, а также получить копию любой записи, содержащей персональные данные Работника. 6.2. При необходимости получить персональные данные о Работнике в объеме большем, чем это установлено в ТК РФ, компания обязана получить от Работника письменное согласие до момента получения персональных данных. 6.3. Если персональные данные Работника являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана уточнить, заблокировать или уничтожить их. При достижении поставленных целей обработки персональных данных Компания обязана уничтожить соответствующие персональные данные Работника в течение трех дней с момента возникновения указанных фактов. 6.4. Персональная информация о Работнике может быть распространена Компанией, в том числе путем включения в рекламные материалы, опубликования в электронном виде и пр., только при наличии письменного согласия Работника. 7. Ответственность сторон. Защита прав и обязанностей. 7.1. При реализации настоящего Положения каждая из сторон обязана использовать свои права и исполнять свои обязанности добросовестно и разумно, не злоупотребляя ими. 7.2. В случае нарушения прав Работника он может обратиться с жалобой к руководителю Компании, который в течение 10 дней с момента получения жалобы обязан дать мотивированный ответ. 7.3. Обращение к руководителю Компании не ограничивает право Работника на защиту в соответствии с законодательством РФ. Приведенное положение содержит в себе семь разделов, которые закрепляют основные принципы обработки персональных данных работника. Руководствуясь разд. 2 и 3, сотрудник компании должен изначально определить круг информации, которая необходима для реализации прав и обязанностей работодателя. Далее, получив интересующую его информацию, сотрудник имеет право производить с ней требуемые действия в форме и методах, определенных в положении. Автор рекомендует ознакомить каждого работника под роспись с принятым в организации положением о персональных данных работника, что позволит в дальнейшем избежать обвинений в части нарушений прав работника, а также дисциплинирует как работника, так и работодателя. Практическим работникам организаций следует обратить внимание на разд. 6 положения, так как здесь описывается возможность формирования личного дела работника. Зачастую такие личные дела состоят из личных карточек, включают в себя различные приказы, заявления и пр. Учитывая специфику каждого предприятия, возможно и даже необходимо в каждом конкретном случае вносить коррективы в данный раздел. Например, возможны уточнения документов, хранящихся в личном деле, корректировка сроков получения и выдачи информации, распределение функций в части обработки персональных данных между различными сотрудниками организации. Нельзя предусмотреть в модельном акте, в том числе и в приведенном положении, всех нюансов деятельности компаний, но автор постарался изложить основные принципы с учетом произошедших изменений и наблюдающихся тенденций развития законодательства в сфере информационной свободы и трудовых отношений. Хочется надеяться, что приведенное положение будет иметь как теоретическую, так и практическую ценность в работе юристов, специалистов в кадровом деле, поможет работникам разобраться в своих правах и обязанностях. А.В.Кротов Начальник юридической службы компании "Метэкспо" г. Нижний Новгород Подписано в печать 24.05.2007 ————