Обработка персональных данных штатных работников

С 1 января 2007 г. вступил в силу закон о персональных данных. Он регулирует отношения в области сбора, изменения и передачи сведений, в том числе и между сотрудниками и работодателем. Теперь бухгалтеру придется учитывать нововведения, оформлять сотрудника на работу, составляя расчетно-платежную ведомость или доверенность.

В повседневной деятельности организации персональные данные работника – это в первую очередь информация, необходимая работодателю, чтобы заключить трудовой договор, заполнить личную карточку №Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой  им работы.

Определение понятия персональных данных содержит статья 2 Закона №152-ФЗ – это «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)», в том числе:

  1. фамилия, имя, отчество;
  2. год, месяц, дата и место рождения;
  3. адрес;
  4. семейное;
  5. социальное, имущественное положение;
  6. образование;
  7. профессия;
  8. доходы.

Этот перечень не является закрытым. И в него можно включить, практически все сведения, которые работодатель получает о работнике. Новый закон распространяется на деятельность, связанную с обработкой персональных данных. Под обработкой же понимают «действия с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, изменение, использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных» (ст. 2 Закона №152-ФЗ). Обратите внимание: понятие «обработка» по новому закону включает в себя сбор, распространение и передачу сведений. То есть обычные операции, которые бухгалтер или кадровик совершает чуть ли не ежедневно.

Еще один момент, на который нужно обратить особое внимание. Теперь по общему правилу, прежде чем приступить к сбору, обработке или передаче персональных сведений о сотруднике, нужно получить его письменное согласие (ст. 6, ст. 9 Закона №151 – ФЗ). Разрешение работник может написать в произвольной форме. Однако есть некоторые реквизиты, которые в нем обязательно должны присутствовать (п. 4 ст. 9 Закона №152 – ФЗ):

  1. фамилия, имя, отчество, адрес сотрудника, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. наименование и адрес организации, получающей согласие;
  3. цель обработки персональных данных;
  4. перечень персональных данных, на обработку которых дается согласие;
  5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых организацией способов обработки сведений;
  6. срок, в течение которого действует согласие, а также порядок его отзыва.

Что, фамилию и имя сотрудника приходится использовать довольно таки часто. Неужели теперь бухгалтеру придется все время спрашивать разрешение? Вовсе нет. Ведь из этого правила есть исключения. Например, получать согласие от сотрудника не требуется, если сбор или изменение сведений проводят для исполнения договора, одной из сторон которого является сам работник (подп. 3 п. 2 ст. 6 Закона №152 – ФЗ). Например, если сотрудника приняли на работу и необходимо оформить пропуск. В этом случае передать сведения в охрану можно, ведь пропуск нужен для того, чтобы сотрудник мог приходить на работу и исполнять свои обязанности по трудовому договору. Не нужно дополнительного разрешения и для указания данных сотрудника в доверенностях, приказах, расчетно-платежных ведомостях и в других рабочих документах.

Не требуется согласие сотрудника и на обработку персональных данных для статистических или научных целей. Однако в этом случае есть обязательное условие, которое организация должна соблюдать: используемые данные должны быть обезлины (подп. 3 ст. 6 Закона №152 – ФЗ), чтобы при использовании этой информации, нельзя было установить прямую связь между данными и конкретным человеком. Например, составляя статотчетность о численности и фонде оплаты труда, бухгалтер может не волноваться. Ведь сведения, передаваемые управлению статистики, нельзя соотнести с определенным работником.

Работодатель может также собирать информацию без согласия работника, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности. Ведь главная цель такого действия – предотвратить угрозу жизни и здоровью работника (подп. 4 п.2 ст. 6 Закона №152 – ФЗ).

Не нужно согласие и на передачу сведений и в случаях, предусмотренных федеральными законами. Например, статья 228 Трудового кодекса прямо определяет, что если на рабочем месте произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего. А также ряд государственных и местных структур.

Можно собирать, обрабатывать и передавать без согласия сотрудников и любые общедоступные данные. Это сведения, которые содержатся в общедоступных источниках. Например, в справочниках или адресных книгах могут быть указаны фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии другие сведения о человеке. Эти данные организация вполне может  использовать. Проблема в том, что общедоступные источники могут нарушить закон и опубликовать данные без согласия человека, а организация об этом может не знать и спокойно накапливать, обрабатывать и передавать сведения. Но наказывать в этом случае организацию будет крайне тяжело. Положения, которые регламентируют порядок работы и защиту персональных данных, есть и в Трудовом кодексе. Они продолжают действовать, несмотря на то, что появился новый закон. И новый закон просто дополняет положения Трудового кодекса. Ведь в случае противоречия между Трудовым кодексом и другими федеральными законами нужно применять нормы Трудового кодекса (ст. 5 ТК).

Порядок хранения и использования персональных данных работников организации определяет Положение о защите персональных данных. Это внутренний (локальный) документ организации. Строгой формы этого документа не установлено. Но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника Трудовой кодекс и Закон «О персональных данных».

В положении должны быть указаны:

  1. цель и задачи организации в области защиты персональных данных;
  2. понятие и состав персональных данных;
  3. в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
  4. как происходит сбор персональных данных;
  5. как они обрабатываются и используются;
  6. кто (по должности) в пределах организации имеет к ним доступ;
  7. как персональные данные защищаются от несанкционированного доступа;
  8. права работника в целях обеспечения защиты своих персональных данных;
  9. ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Положение о защите персональных данных работника утверждается приказом руководителя.
Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к положению.

Однако они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев).

Оформляют приложение так:

Работодатель обязан ознакомить работника с Положением о защите персональных данных, а работник расписаться в этом.

Факт ознакомления обычно оформляют распиской, которая остается у работодателя.