Вопросы кадровой службы: персональные данные
Основным документом, регламентирующим отношения между работодателем и работником, является трудовой договор, при заключении которого следует учитывать положения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных). Он вступил в силу с 1 января 2007 г. и регулирует отношения в области сбора, изменения и передачи сведений федеральными органами государственной власти РФ и ее субъектов, а также юридическими и физическими лицами с использованием средств автоматизации и без них. Цель этого Закона - защита прав и свобод человека при обработке его персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.
Согласно ст. 3 Закона о персональных данных любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе:
- фамилия, имя, отчество;
- год, месяц, дата и место рождения;
- адрес;
- семейное, социальное, имущественное положение;
- образование;
- профессия;
- доходы и другая информация,
- признается персональными данными.
Этот перечень не является закрытым - в него можно включить практически все сведения о работнике, которые получает работодатель.
Помимо этого, ст. ст. 10 и 11 Закона о персональных данных установлены специальные данные, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения. Это информация, касающаяся:
- расовой, национальной принадлежности;
- политических взглядов, религиозных или философских убеждений;
- состояния здоровья, интимной жизни физического лица,
- а также биометрические персональные данные - сведения, характеризующие физиологические особенности человека.
Принципы и условия обработки информации
Обработка персональных данных включает все действия и операции с ними, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокировку и уничтожение. Согласно закону это обычные хозяйственные операции учреждения, с которыми часто сталкиваются как руководитель, так и бухгалтерская служба.
В соответствии с п. 1 ст. 6 Закона о персональных данных обработка данных возможна только с согласия работника. Поэтому при оформлении сотрудника на работу необходимо получить от него письменное заявление о согласии на обработку данных. В таком заявлении работник в обязательном порядке должен сообщить:
- фамилию, имя, отчество, свой адрес, номер документа, удостоверяющего личность, сведения о дате выдачи и органе, его выдавшем;
- наименование и адрес учреждения, которое получило согласие на использование персональных данных;
- цель обработки данных;
- перечень персональных данных, на обработку которых согласен работник;
- перечень действий, на которые дается согласие, общее описание используемых учреждением способов обработки сведений;
- срок, в течение которого действует согласие, а также порядок его отзыва (п. 4 ст. 9 Закона о персональных данных).
Представим образец заявления работника.
-----------------------------------------------------------------¬
¦ Руководителю музыкального театра,¦
¦ расположенного по адресу:¦
¦ г. Н. Новгород, ул. Неизвестная, д. 6,¦
¦ Иванову Ивану Ивановичу¦
¦ от Сидорова Петра Михайловича¦
¦ (паспорт N 33 00 612745, выдан¦
¦ Ленинским ОВД г. Н. Новгорода¦
¦ 25.02.2001)¦
¦ ¦
¦ заявление ¦
¦ ¦
¦ Я, Сидоров Петр Михайлович, даю свое согласие на сбор,¦
¦систематизацию, накопление, хранение, уточнение (обновление,¦
¦изменение), использование, распространение (передачу),¦
¦обезличивание, блокировку и уничтожение своих персональных¦
¦данных: ¦
¦- фамилия, имя, отчество; ¦
¦- год, месяц, дата и место рождения; ¦
¦- адрес; ¦
¦- семейное, социальное положение; ¦
¦- образование; ¦
¦- профессия; ¦
¦- доходы, полученные мной в данном учреждении, - ¦
¦для передачи в налоговую инспекцию по форме 2-НДФЛ и органы ПФР¦
¦индивидуальных сведений о начисленных страховых взносах на¦
¦обязательное пенсионное страхование и данных о трудовом стаже. ¦
¦ Передача персональных данных разрешается на срок действия¦
¦трудового договора. ¦
¦ Подтверждаю, что ознакомлен с положением о защите персональных¦
¦данных, права и обязанности в области защиты персональных¦
¦данных мне разъяснены. ¦
¦15.01.2007 подпись (Сидоров П.М.) ¦
L-----------------------------------------------------------------
Согласие работника не требуется, если обработка данных:
- проводится в целях исполнения договора, одной из сторон которого является такой работник, то есть не нужно дополнительное разрешение на выписку доверенностей, если это связано с исполнением его трудовых обязанностей, указания данных в приказах, расчетно-платежных, инвентаризационных ведомостях, товарных накладных и т.д.;
- ведется в статистических или иных научных целях при условии обязательного обезличивания персональных данных;
- необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если невозможно получить его согласие на обработку данных;
- нужна для доставки почтовых отправлений организациями почтовой связи, осуществления операторами электросвязи расчетов с пользователями за оказанные услуги связи, а также для рассмотрения претензий пользователей услуг связи;
- ведется в рамках профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности при условии, если при этом не нарушаются права и свободы субъекта (п. 2 ст. 6 Закона о персональных данных).
Кроме того, не требуется согласие физического лица на обработку данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных кандидатов на выборные государственные или муниципальные должности, а также лиц, замещающих государственные должности, должности государственной гражданской службы.
При обработке персональных данных работников в связи с трудовыми отношениями работодателям следует руководствоваться гл. 14 ТК РФ.
Обязанности работодателя в отношении персональных данных
Работодатель, получивший доступ к персональным данным, должен обеспечить их сохранность и предотвратить несанкционированный доступ к информации. Для этого он обязан принять необходимые организационные и технические меры защиты, используя шифровальные (криптографические) средства, исключающие уничтожение, изменение, блокировку, копирование и распространение персональных данных. Использование и хранение биометрических данных вне информационных систем могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают ее сохранность.
Обязанность кадровой службы вести личные дела предусмотрена только для государственных учреждений ст. 44 Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации". Другие бюджетные учреждения могут самостоятельно разработать порядок сбора и хранения информации о сотрудниках. Для этого руководитель должен утвердить положение о персональных данных работника. Это внутренний документ организации, его разрабатывает отдел кадров или юридический отдел. С ним также нужно ознакомить всех сотрудников под роспись.
К положению о защите персональных данных также составляется перечень лиц, которые имеют доступ к такой информации, оформить этот документ можно либо приказом, либо приложением к указанному положению. Доступ к личным данным также разрешен специально уполномоченным лицам, например работникам милиции или прокуратуры. Им предоставляются сведения о сотрудниках в необходимом для работы объеме.
Приведем рекомендуемый образец приказа по бюджетному учреждению.
-----------------------------------------------------------------¬
¦ Приказ N 25 от 10.01.2007 ¦
¦ ¦
¦ О лицах, уполномоченных на получение и доступ к персональным ¦
¦ данным работников учреждения ¦
¦ ¦
¦Устанавливается список лиц, имеющих право на доступ и получение¦
¦персональных данных, а также на сбор, систематизацию,¦
¦накопление, хранение, уточнение (обновление, изменение),¦
¦использование, распространение (передачу), обезличивание,¦
¦блокировку, уничтожение по бюджетному учреждению ¦
¦ ¦
¦ (наименование бюджетного учреждения) ¦
+--T--------------------------T----------------------------------+
¦N ¦ Фамилия Имя Отчество ¦ Должность ¦
+--+--------------------------+----------------------------------+
¦1 ¦Иванов Иван Иванович ¦Начальник отдела кадров ¦
+--+--------------------------+----------------------------------+
¦2 ¦Петрова Мария Ивановна ¦Юрист учреждения ¦
+--+--------------------------+----------------------------------+
¦3 ¦Николаева Елена Петровна ¦Главный бухгалтер ¦
+--+--------------------------+----------------------------------+
¦4 ¦Петрова Светлана Борисовна¦Бухгалтер по заработной плате ¦
+--+--------------------------+----------------------------------+
¦ Руководитель подпись (Ф.И.О.) ¦
L-----------------------------------------------------------------
Работодатель также в случае личного обращения работника за информацией, касающейся его персональных данных, или его письменного запроса либо через законного представителя обязан предоставить ее в течение 10 рабочих дней с даты получения запроса. В случае отказа следует дать мотивированный ответ, руководствуясь положениями указанного Закона, в срок, не превышающий семи рабочих дней со дня получения запроса. Информацию о персональных данных работодатель обязан предоставить работнику безвозмездно (п. 3 ст. 20 Закона о персональных данных).
Права физического лица в отношении персональных данных
Сотрудник вправе в любое время посмотреть свое личное дело и сделать копии нужных ему документов (ст. 89 ТК РФ), а также на основании ст. 14 Закона о персональных данных:
- получить сведения об операторе (в данном случае работодателе), месте его нахождения;
- требовать уточнения своих данных, их блокировки или уничтожения в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- получить данные в доступной форме (в них не должны содержаться сведения, относящиеся к другим лицам);
- иметь доступ к своим данным через законного представителя или на основании письменного запроса. Запрос должен содержать номер основного документа, удостоверяющего личность (паспорт), сведения о дате его выдачи и выдавшем его органе, а также собственноручную подпись работника либо его законного представителя.
Работник при обращении или запросе имеет право на получение информации, касающейся обработки его данных, в том числе содержащей:
- подтверждение факта обработки данных, а также ее цель;
- способы обработки данных, применяемые работодателем в учреждении;
- сведения о лицах, которые имеют доступ к данным работника или которым он может быть предоставлен;
- перечень обрабатываемых данных и источник их получения;
- сроки обработки данных, в том числе сроки их хранения;
- сведения о юридических последствиях обработки персональных данных.
Право работника на доступ к своим персональным данным ограничивается, если:
- обработка данных, в том числе полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности и охраны правопорядка;
- обработка данных ведется органами МВД, задержавшими данное лицо по подозрению в преступлении либо по обвинению в рамках уголовного дела либо применившими к нему меру пресечения до предъявления обвинения, за исключением случаев, предусмотренных уголовно-процессуальным законодательством РФ;
- предоставление персональных данных нарушает конституционные права и свободы других лиц.
Ответственность за нарушение порядка обработки персональных данных
Согласно ст. 24 Закона о персональных данных на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность. На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена только:
- за отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо их несвоевременное предоставление, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);
- за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ);
- за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).
С.Валова
Зам. главного редактора журнала
"Автономные организации:
бухгалтерский учет
и налогообложение"