Персональные данные — болезненная тема для многих работодателей, особенно в свете недавних изменений законодательства, обещающих огромные штрафы за нарушение требований к обеспечению сохранности персональных данных, в том числе и при сборе их посредством Интернета. До 6 000 000 рублей за первое нарушение и до 18 000 000 рублей за повторное (статья 13.11 КоАП) — эти цифры заставляют задуматься даже руководство крупной компании, что уж говорить о компаниях помельче.
Но даже самая надежная база данных не сможет спасти работодателя от штрафа, если документы, регулирующие порядок работы с персональными данными, не будут оформлены надлежащим образом.
Изучаем законодательство
Главным документом, регламентирующим все аспекты обращения с персональными данными в РФ, является в настоящее время Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». В нем оговорен порядок совершения следующих действий в отношении персональных данных:
- сбор;
- хранение;
- передача третьим лицам;
- ответственность за разглашение;
- уничтожение.
Именно на этот документ мы рекомендуем опираться при создании локального нормативного акта — Положения о порядке работы с персональными данными (назвать можно иначе, главное, чтобы сохранилась суть), которое организация должна будет в обязательном порядке для себя разработать, и с которым работники организации, ведущие работу с этим данными, должны быть ознакомлены под подпись.
Положение о персональных данных должно быть введено в действие приказом руководителя организации. В этом же приказе, как правило, и определяется срок ознакомления работников организации с документом.
Для организации ознакомления можно использовать:
- лист ознакомления с Положением;
- журнал ознакомления с локальными нормативными актами организации.
Закон не определяет какого-то конкретного способа, и организация может действовать так, как ей удобнее.
В качестве приложений к Положению утверждаются и вводятся в документооборот организации бланки:
- согласия на обработку персональных данных. В статье 8 Закона приведена структура данного документа, потребуется только оформить ее в виде шаблона и внести индивидуальные данные организации;
- отказа от обработки данных. Данная форма разрабатывается организацией самостоятельно;
- отзыва ранее данного согласия на обработку данных. Данная форма также разрабатывается организацией.
Приказ о назначении ответственных
Разработка Положения — первый этап организации работы с персональными данными на предприятии. После утверждения Положения работодатель/руководитель организации должен:
- назначить своим приказом ответственных лиц за сбор, обработку, хранение и уничтожение персональных данных;
- ознакомить ответственных лиц с приказом.
В дальнейшем положения, касающиеся ведения работы с персональными данными, могут вноситься дополнительно и должностные инструкции работников.
Одна цель — одно согласие
Необходимо помнить о том, что для сбора некоторых видов персональных данных оператору (то есть организации, осуществляющей работу с ними) потребуется отдельное письменное согласие работника. Обращаясь к тексту закона о персональных данных, узнаем, что такое согласие требуется, например:
- при составлении общедоступных баз данных, куда включаются основные данные субъекта персональных данных (профессия, возраст, ФИО и т.п.);
- при сборе биометрических данных (статья 11 закона);
- при сборе специальных персональных данных (политические убеждения, религиозные взгляды, состояние здоровья и т.п.).
Важно! Для каждой цели требуется отдельное согласие. То есть, например, нельзя в одном документе запрашивать согласие на «сбор» образца голоса для формирования базы голосовых паролей и данные о политических убеждениях работника для внутренней статистики организации.
Отметим, однако, что законодательство позволяет обрабатывать персональные данные без согласия работников в широком диапазоне ситуаций. Главное — не забывать сверяться с текстом закона, чтобы не выйти за оговоренные им пределы.
Сбор данных при трудоустройстве
Статьи 57, 65, 69 ТК РФ оговаривают обязанность работника предоставить работодателю документы и информацию о себе (в том числе персональные данные) при заключении с ним трудового договора.
Работник имеет право отказаться от предоставления персональных данных. Однако ошибкой будет сразу же отпустить работника домой, сказав ему, что тогда трудовой договор с ним заключить невозможно — в будущем работодателя может ждать неприятный сюрприз в виде жалобы в Госинспекцию труда или даже иска в суд по причине (по мнению работника) незаконного отказа в трудоустройстве.
Важно! Сотрудник отдела кадров в случае отказа работника на должен разъяснить работнику последствия этого отказа и предложить ему заполнить (составить) отказ от обработки персональных данных.
Отзыв ранее данного согласия
Законодательство позволяет работнику в любой момент по своему желанию отозвать ранее данное согласие на обработку персональных данных (статья 9). Еще раз подчеркнем — по своему желанию, то есть без обязательной мотивировки.
Важно! В течение тридцати дней после получения отзыва организация должна прекратить обработку его персональных данных и уничтожить их в установленном порядке.
С этой целью отзыв рекомендуется составлять также в письменном виде. Таким образом организация будет иметь на руках физическую «точку отсчета» тридцатидневного срока.