Раздел 4. ЛОКАЛЬНЫЕ АКТЫ ОРГАНИЗАЦИИ
Статьей 87 Трудового кодекса РФ предусмотрено, что порядок хранения и использования персональных данных работников устанавливается работодателемс учетом требований ТК РФ и иных федеральных законов, что подразумевает регулирование порядка обработки персональных данных работников локальными нормативными и иными актами.
Поскольку п. 8 ст. 86 ТК РФ предполагает обязанность работодателя знакомить под роспись работников и их представителей с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области, соответственно работодатель обязан принять соответствующие локальные нормативные акты.
Основным таким локальным нормативным актом может быть Положение о защите персональных данных работников, которое принимается с учетом мнения выборного органа первичной профсоюзной организации учреждения в порядке, предусмотренном ст. 372 ТК РФ.
Целью принятия данного положения является определение порядка обработки персональных данных работников, обеспечение защиты прав и свобод работников при обработке их персональных данных, а также определение ответственности лиц, имеющих доступ к персональным данным работников, за невыполнение правовых норм, регулирующих обработку и защиту персональных данных работников.
Отсутствие данного локального нормативного акта может быть квалифицировано государственным и иным органом государственного контроля (надзора) (например, федеральной инспекцией труда) как нарушение работодателем трудового законодательства[8].
Исходя из требований ст. ст. 68, 86 ТК РФ работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Факт ознакомления с указанным Положением может фиксироваться как в тексте самого трудового договора (путем перечисления локальных нормативных актов, с которыми работник ознакомлен до подписания договора), так и в отдельном документе (в самом Положении на листе ознакомления с ним). Работодатель может также предусмотреть в организации журнал ознакомления работников с локальными нормативными актами, где работники будут расписываться в подтверждение того, что они ознакомлены с соответствующими актами (в т.ч. с Положением о персональных данных).
В соответствии со ст. 68 ТК РФ при приеме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью. Поскольку из содержания п. 1 ст. 86 ТК РФ следует, что персональные данные работников обрабатываются исключительно в связи с трудовой деятельностью, то локальные нормативные акты, регламентирующие обработку персональных данных, являются документами, связанными также с их трудовой деятельностью. Следовательно, со всеми локальными нормативными актами, регламентирующими обработку персональных данных, работник должен быть ознакомлен до подписания трудового договора. Структура Положения о персональных данных может быть следующей:
1) «Общие положения». В данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует;
2) «Основные понятия. Состав персональных данных работников». Здесь следует указать, какие документы в организации содержат персональные данные;
3) «Обработка персональных данных». В этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;
4) «Передача персональных данных». Здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;
5) «Доступ к персональным данным». В данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов);
6) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных». В данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.
Наряду с Положением о защите персональных данных работников в организации, осуществляющей образовательную деятельность, также представляется необходимым наличие следующих документов:
- приказ об утверждении списка лиц, имеющих доступ к персональным данным работников;
- обязательство указанных лиц о неразглашении персональных данных работников;
- согласие лиц, персональные данные которых обрабатываются, на их обработку и передачу в рамках исполнения работниками трудовых обязанностей и хозяйственной деятельности предприятия;
- уведомление работника о получении его персональных данных от третьих лиц.
Поскольку на работодателя возложена обязанность соблюдения режима конфиденциальности персональных данных, то необходимо в целях обеспечения выполнения этого требования вести журналы учета персональных данных, их выдачи и передачи другим лицами представителям различных организаций, органам государственного контроля (надзора), правоохранительным органам, которые обеспечат документальную фиксацию внутреннего и внешнего доступа к персональным данным работников.
В журнале учета внутреннего доступа к персональным данным следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (личное дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.
Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.
Помимо этого работодателю необходимо вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.
Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работников.
Кроме того, учитывая, что к числу методов и способов защиты информации от несанкционированного доступа для обеспечения безопасности персональных данных в информационных системах определенного класса относится учет всех защищаемых носителей информации с помощью их маркировки и занесения учетных данных в журнал учета, то необходимо также ведение журнала учета применяемых работодателем носителей информации.
Раздел 5. ОФОРМЛЕНИЕ СОГЛАСИЯ РАБОТНИКА НА ПЕРЕДАЧУ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением предусмотренных законом случаев. Также данной статьей предусмотрено, что без согласия работника персональные данные не могут передаваться в коммерческих целях. Соответственно, для передачи персональных данных необходимо письменное согласие работника. Из указанного документа должно быть понятно, кому будут передаваться персональные данные работника и с какой целью. Следует также учитывать, что в соответствии со ст. 88 ТК РФ работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Работодатель с согласия работника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и пр.) другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора). Отметим, что ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона о персональных данных).
Согласие работника на обработку персональных данных должно включать (ч. 4 ст. 9 Закона о персональных данных):
1) фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;
2) при получении согласия от представителя работника - его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
3) наименование или фамилию, имя, отчество и адрес работодателя;
4) цель обработки персональных данных;
5) перечень персональных данных, которые подлежат обработке;
6) фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;
7) перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
8) срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
9) подпись работника.
Следует иметь в виду, что работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных. Это следует из ч. 2 ст. 9 указанного Закона.
В силу абз. 11 п. 5 Разъяснений Роскомнадзора получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя. Однако если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц, то согласие на обработку его персональных данных не требуется.
Согласие не требуется и в тех случаях, когда:
- обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий (п. п. 2, 5 ч. 1 ст. 6 Закона о персональных данных);
- это предусмотрено коллективным договором, соглашением, а также локальными актами работодателя, принятыми в установленном ст. 372 ТК РФ порядке (абз. 2 Разъяснений Роскомнадзора);
- обязанность по обработке предусмотрена законодательством, в том числе для опубликования и размещения персональных данных работников в Интернете (абз. 1 п. 1 Разъяснений Роскомнадзора). К примеру, образовательная организация обязана размещать на официальном сайте образовательной организации в сети Интернет информацию о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии); о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы (ст. 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»)[9];
- обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (п. 2.3 ч. 2 ст. 10 Закона о персональных данных). Такая обработка допускается, например, в отношении сведений о состоянии здоровья педагогических работников (абз. 6 ч. 2 ст. 331 ТК РФ);
- проводится обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой (форма № Т-2, утвержденная Постановлением Госкомстата России от 05.01.2004 № 1), а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др. (абз. 1 п. 2 Разъяснений Роскомнадзора);
- обработка персональных данных связана с выполнением работником своих трудовых обязанностей (п. 3 Разъяснений Роскомнадзора);
- обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений (абз. 1 п. 5 Разъяснений Роскомнадзора);
- персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами (абз. 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора).
- обработка персональных данных осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета (пп. 5 п. 3 ст. 24 Налогового кодекса РФ (далее – НК РФ), ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ, абз. 6 - 10 п. 5 Разъяснений Роскомнадзора).
- в случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку (ч. 5 ст. 11 Федерального закона от 09.02.2007 № 16-ФЗ, п. 8 Правил предоставления гостиничных услуг в Российской Федерации (утв. Постановлением Правительства РФ от 25.04.1997 № 490), абз. 4 п. 4 Разъяснений);
- для предоставления сведений в банк, обслуживающий банковские карты работников при условии, что в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) содержится пункт о праве работодателя передавать персональные данные работников, либо он действует на основании доверенности на представление интересов работников (абз. 10 п. 4 Разъяснений);
- не требуется согласие работника на передачу персональных данных, когда обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (ч. 1 ст. 6, ст. 7, ч. 2 и 3 ст. 9 Закона о персональных данных).
- в налоговые органы (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора);
- в военные комиссариаты (абз. 4 п. 1 ст. 4 Федерального закона от 28.03.1998 № 53-ФЗ, пп. «г» п. 30, пп. «а» - «в», «д», «е» п. 32 Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 № 719, абз. 5 п. 4 Разъяснений Роскомнадзора);
- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем (абз. 5 ч. 6 ст. 370 ТК РФ, п. 1 ст. 17, п. 1 ст. 19 Федерального закона от 12.01.1996 № 10-ФЗ, абз. 5 п. 4 Разъяснений Роскомнадзора);
- по мотивированному запросу органов прокуратуры (п. 1 ст. 22 Федерального закона от 17.01.1992 № 2202-1, п. 7.1 ч. 2 ст. 10 Закона о персональных данных, абз. 7 п. 4 Разъяснений Роскомнадзора);
- по мотивированному требованию правоохранительных органов и органов безопасности (ст. 6 Федерального закона от 29.07.2004 № 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 № 3-ФЗ, п. «м» ч. 1 ст. 13 Федерального закона от 03.04.1995 № 40-ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора);
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора);
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом (абз. 5 ст. 228 ТК РФ). Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ;
В связи с этимполучателями персональных данных работника на законном основании являются:
органы социального страхования, органы пенсионного обеспечения, а также иные органы, организации и граждане,определяемые в соответствии с федеральными законами о конкретных видах обязательного социального страхования, определяемых в соответствии с Федеральным законом от 16 июля 1999 г. № 165-ФЗ «Об основах обязательного социального страхования», согласно которому отношения по обязательному социальному страхованию возникают у страхователя (работодателя) - по всем видам обязательного социального страхования с момента заключения с работником трудового договора;
налоговые органы (в соответствии со ст. 24 Налогового кодекса Российской Федерации, выступая в качестве налогового агента работников, исчисляющего, удерживающего из средств, выплачиваемых работникам, и перечисляющего в бюджет соответствующие налоги, работодатель обязан представлять в налоговый орган по месту своего учета документы, необходимые для осуществления контроля за правильностью исчисления, удержания и перечисления налогов);
органы прокуратуры и другие правоохранительные органы(в соответствии со ст. 23 Закона о персональных данных имеют право запрашивать информацию у работодателей в рамках проверки для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью).
федеральная инспекция труда (государственные инспекторы труда в соответствии со ст. 357 ТК РФ при осуществлении федерального государственного надзора за соблюдением трудового законодательства имеют право запрашивать у работодателей и безвозмездно получать от них документы и информацию, необходимую для выполнения надзорных и контрольных функций, включая персональные данные работников);
профессиональные союзы (в соответствии с Законом о профсоюзах и ТК РФ профсоюзы имеют право на получение информации от работодателей по социально-трудовым вопросам для осуществления своей уставной деятельности, а также право на осуществление общественного контроля за соблюдением работодателями, должностными лицами трудового законодательства);
другие органы и организации в случаях, предусмотренных федеральным законом.