2073

• Темы:
• Кадровое делопроизводство и документы
• Персональные данные

При приеме на работу кандидат предоставляет работодателю документы, обязательные при трудоустройстве. Данные содержащиеся в этих документах называются персональными.

В начале двухтысячных годов Россия ратифицировала международную конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне». С этого момента началось создание нормативной базы по регулированию действий, касающихся предоставления, использования и хранения персональных данных граждан. В данной статье мы разберем: кто является субъектом персональных данных, какие документы, содержащие персональные данные должен предъявить кандидат при приеме на работу.

Документы по персональным данным

Основным документом, регулирующим использование таких данных, является № 152 ФЗ «О защите персональных данных». К персональным данным относятся все данные или информация напрямую или опосредованно связанная с субъектом персональных данных - физическому лицу. К таким данным можно отнести:

• Возраст, пол;
• Адрес прописки и проживания;
• Образования, курсы повышения квалификации;
• Данные связанные с семейным положением и наличием или отсутствием детей и иждивенцев;
• Предшествующий трудовой путь и данные биографии;
• Источники доходов в прошлом и в настоящее время;
• Информация о движимом и недвижимом имуществе;
• Личные качества и деловая репутация;
• Другие данные, относящиеся к гражданину.

При трудоустройстве в компанию и в ходе трудовой деятельности работодатель имеет право использовать не всю информацию, а только ее часть, закрепленную в ст. 65 ТК РФ.

Перечень документов по персональным данным в организации включает в себя документы, напрямую относящиеся к трудовой деятельности. В течение всего трудовой деятельности у конкретного нанимателя необходимо собирать и хранить персональные данные. В список документов содержащих такие данные включают:

• Копии паспорта или иного документа удостоверяющего личность;
• Трудовая книжка или ее копия;
• Копии документов о рождении детей и заключении (расторжении) брака;
• Копии документов об образовании;
• Документы, описывающие отношения с военным комиссариатом по месту регистрации (военный билет, приписное удостоверение);
• СНИЛС;
• Справки с прошлых компаний, где работал гражданин (о заработной плате, стаже);
• Личная карточка Т-2. В ней консолидируется вся персональная информация о работнике.
• Трудовой договор;
• Приказы по кадрам;
• Другие документы, содержащие персональные данные работника или кандидата на вакантную должность (например, резюме).

Получать документы, содержащие такие данные, представитель компании может только лично у будущего работника. Если это невозможно, допускается получение из других источников, но только с согласия кандидата. Не все виды персональных данных работодатель может запрашивать и обрабатывать, например специальные данные неприкосновенны (вероисповедание, политические взгляды, национальность и ряд других).

Каждый из нас имеет право на защиту своих персональных данных. Для данных целей на предприятии разрабатывается специальный комплекс мероприятий направленный на их сохранение и недопущение к таким данным посторонних лиц. Обычно последовательность действий сопряженная с получением, обработкой, хранением и защитой персональных данных содержится в документе по защите персональных данных в организации. При приеме на работу, еще до проставления подписей в договоре будущего работника нужно ознакомить под роспись с таким документом.

Работодатель не должен препятствовать сотруднику, если он хочет ознакомиться со своими персональными данными и документами их содержащими, на это у него есть полное право. Служба персонала обязана в трехдневный срок по письменному заявлению сотрудника предоставить ему справки или копии документов, относящихся к работе. При дистанционном характере работы, сотруднику запрашиваемые документы могут предоставляться посредством почтовой пересылки или электронной почты (если это указано в заявлении).

По просьбе работника наниматель обязан внести коррективы в имеющиеся данные или удалить их часть. Такие действия могут понадобиться в случае, например переезда и смены адреса проживания или смены фамилии и прочее.

Обработка и хранение персональных данных

Пакет документов по персональным данным в организации может обрабатываться только установленной группой лиц. Обычно к таким лицам относят руководителя компании, руководителя отдела, в котором трудится сотрудник и сотрудник службы персонала или бухгалтер. Принцип конфиденциальности должен соблюдаться всегда, когда мы говорим о персональных данных. Хранение таких данных для работников служб персонала рекомендовано в специальных шкафах, защищенных от проникновения замком, и опечатанных. Трудовые книжки должны храниться отдельно от личных дел в сейфах.

Передавать личные данные работника третьим лицам работодатель может только с согласия сотрудника. Такое условие прописывается в «Положении о защите персональных данных» организации. В исключительных ситуациях согласия работника не требуется. Например, при угрозе жизни или здоровью сотрудника. В случаях, когда кандидат или работник не может сам представлять свои интересы (не дееспособен), то решения принимает опекун или доверенное лицо. При смерти согласие на обработку данных оформляют на наследника, если оно не было оформлено при жизни.

Ответственность за противоправные действия с личными данными, допущенные виновными работниками компании, несет работодатель. При соблюдении режима конфиденциальности в организации необходимо вести журнал учета персональных данных, документов организации касающихся работы сотрудников и их предоставления третьим лицам. Личные данные сотрудников могут предоставляться, например трудовой инспекции и прокуратуре при проведении проверок.

За нарушение дисциплины хранения и предоставления персональной информации, а также за несоблюдение порядка ее получения на организацию или сотрудника может быть наложена ответственность и штрафные санкции. Ответственность может быть административной, то есть наложение административного штрафа в размере до 5 тысяч рублей для должностных лиц. Так же сотрудника допущенного к таким данным могут привлечь к дисциплинарной ответственности вплоть до увольнения по причине разглашения охраняемой законом тайны. Привлечение к уголовному наказанию также возможно, если сотрудник злоупотребляет своим статусом, и распространяет личные сведения о работниках компании и тем самым, нарушает неприкосновенность частной жизни.

В случае, если пострадавший работник обратится в суд с просьбой моральной компенсации за причиненный ущерб обнародованием данных - виновное лицо могут привлечь еще и к денежной компенсации.

Из всего вышеизложенного следует, что область защиты персональных данных весьма регламентирована и требует большого внимания со стороны как работодателя, так и службы персонала. Для избежания негативных последствий распространения конфиденциальной информации следует уделять большое внимание правилам хранения и передачи таких сведений третьим лицам.

Документы по защите персональных данных работников необходимы для успешного внедрения на предприятии системы обеспечения конфиденциальности таких сведений. В нашей статье вы найдете информацию не только о том, какая документация может применяться в ходе работы с персональными данными, но также и о том, где можно скачать примеры таких документов.

Законодательство о комплекте документов по защите персональных данных в организации

Законодатель в ст. 7 ФЗ «О персональных данных» от 27.07.2006 № 152 устанавливает обязанность организаций, имеющих статус оператора персональных данных (далее — ПД), т. е. юридического лица, выполняющего сбор, обработку и хранение такой информации, по обеспечению конфиденциальности сведений. Чтобы предотвратить несанкционированный доступ к ПД, необходимо реализовать комплекс защитных мер, в перечень которых входит разработка пакета специализированных документов и их внедрение в деятельность предприятия.

При этом законодатель не определяет точного состава такого пакета и не указывает, какую форму должны иметь документы по защите персональных данных. Это означает, что руководство организации может определить перечень и вид используемой для этих целей документации самостоятельно.

Что входит в пакет документов по защите персональных данных, где можно скачать образцы?

Условно всю документацию, используемую в ходе реализации мероприятий, направленных на обеспечение защиты персональных данных на предприятии, можно разделить на 3 группы:

1. Организационные. Такие документы определяют задачи, функционал и объем ответственности служб и сотрудников, занимающихся сбором, обработкой и хранением персональных данных работников предприятия. К этой категории относятся:
   • положение о ПД (либо о защите ПД);
   • должностные инструкции;
   • приказы (о допуске к работе с ПД, утверждении списка сотрудников, имеющих право на работу с ПД, и пр.);
   • уведомления.
2. Технологические. В документации такого вида содержатся сведения, определяющие порядок и способы реализации процедуры защиты персональных данных. К ней могут быть отнесены инструкции по обработке и защите ПД.
3. Методические. Эти документы детализируют процессы обработки ПД и определяют порядок работы с документами и иными носителями ПД. К данной группе относятся правила работы с ПД.

Таким образом, пакет документации по защите ПД может включать в себя должностные инструкции, приказы, уведомления, а также положения, регулирующие порядок сбора, обработки и хранения информации. Образцы всех этих документов имеются на нашем сайте.

Эта статья посвящена различного рода сервисам автоматической генерации комплекта внутренних документов организации по защите персональных данных на основе некоторой вводимой пользователем информации. Скажу честно, изначально это был гневный пост. Раздражение вызвала полученная по личным каналам информация о том, что представители одного из таких сервисов заходят к главным врачам лечебных учреждений города, в котором я проживаю, и пугают прокуратурой и наказанием за нарушение закона «О персональных данных» в случае отказа от подписки на такой сервис. Но вмешался случай - в процессе написания статьи возникли неотложные дела. И вся готовая на тот момент писанина была отправлена в черновики на неделю. За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.

Проблема №1. Введение клиента в заблуждение Вранье

Тут, наверное, сразу стоит начать с примеров.

На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных - 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц - 10 тысяч рублей. Тут, видимо, речь идет о законопроекте № 683952-6, который предусматривает расширение статьи 13.11 КоАП и действительно увеличивает максимальный штраф до 300 000 рублей, но законопроект как прошел первое чтение осенью прошлого года, так и подвис. И будет ли принят окончательно - неизвестно. Вывод: авторы сайта либо не в курсе ситуации, либо намеренно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже не есть хорошо.

Второй пример: другой сервис торжественно обещает успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных с их документами. Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку. Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки. В-третьих, я о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.

Проблема № 2. Отсутствие индивидуализации

Само собой, практически все сервисы по подготовке комплекта документов вам расскажут о гибкой персонализации комплекта документов сугубо под вас, но это утверждение вполне можно было бы привести как третий пример проблемы № 1.

Честно говоря, в свое время сам написал на Java подобный «заполнятор» шаблонов, но в работе как-то не прижилось, максимум что можно сделать это автоматом вписать название организации и прочие часто повторяющиеся вещи в документах. И вот почему - если цель стоит написать качественную документацию, то ее придется писать руками с учетом всех особенностей как бизнес-процессов организации, так и особенностей IT-платформы, на которой построена информационная система персональных данных. У меня на работе, как правило, именно такая задача, а кому нужно «отмазаться от проверки» мы даем приведенный ниже комплект шаблонов. Бесплатно. Но здесь нужно помнить, что регуляторы тоже не стоят на месте и пройти проверку с набором шаблонных, не адаптированных документов семилетней давности становится все сложнее и сложнее.

Поясню, почему при разработке полноценного и полезного комплекта документов «заполняторы» шаблонов не помогут. Возьмем, например, важный и полезный документ «Инструкция администратора безопасности». Конечно, когда документ делается для галочки, в нем пишется много воды и совсем немного конкретики. В случае, если мы делаем полноценный документ, нам необходимо описать все обязанности и действия администратора безопасности в зависимости от условий функционирования информационной системы персональных данных. И тут оказывается, что на содержание документа влияет огромное количество факторов:

Используется ли виртуализация?
- используются мобильные средства?
- резервное копирование, какими средствами оно производится, с какой периодичностью, где хранятся резервные копии?
- и т.д. и т.п.

Конечно, можно попробовать все это учесть и в шаблоне, но тогда пользователям сервисов придется собирать и вводить огромное количество количество данных, что противоречит принципу «просто и легко, только платите деньги».

Все что может сносно сделать «заполнятор» шаблонов это различные приказы о назначении ответственных лиц или каких-либо комиссий. Как только начинаются вопросы, связанные с бизнес-процессами или особенностями IT-инфраструктуры, начинаются проблемы.

Проблема № 3. Сомнительное качество самих документов

Отчасти проблема перекликается с предыдущей, но если в проблеме №2 речь больше шла об особенностях автоматизированного заполнения, то тут речь о том тексте шаблонов, который не подвергается изменению. Накосячить умудряются в самых простых инструкциях.

Пример. Обычно в информационной системе назначается два ответственных по защите персональных данных - ответственный за организацию персональных данных (больше по орг вопросам) и администратор безопасности информации (по техническим вопросам - настройка средств защиты и т.д.). Соответственно сокращаются эти роли обычно как - «Ответственный» и «Администратор». Так вот, один из сервисов обозвал этих двух друзей как «ответственный за организацию обработки персональных данных» и «ответственный за обеспечение безопасности персональных данных», сократили их, как вы уже наверное догадались как «Ответственный» и (внезапно!) «Ответственный». В приказе о назначении этих ответственных никакого подвоха не чувствуется, жесть начинается, когда авторы документов начинают описывать взаимодействие этих двух разных людей, получается что-то типа «Ответственный на Ответственном и Ответственным погоняет».

Проблема № 4. Безопасность

Как ни странно, сервисы, которые призваны повысить информационную безопасность, сами вызывают ряд вопросов, начиная от банального отсутствия шифрования при отправке форм с конфиденциальными данными, заканчивая как эти данные хранятся на сервисе, как организован физический доступ к серверам и многое другое. При этом мы помним, что пока что сервисы работают по принципу «легко и просто» и не собирают большого количества информации, но могут и «усовершенствоваться». Но тем не менее, как минимум персональные данные ответственных и членов различных комиссий, а также базовые данные по информационной системе придется предоставить.

К чему это все?

Я убежден, что продавать болванки документов, даже под соусом автоматического заполнятора шаблонов за деньги это прошлый век. Я убежден, что запугивание потенциальных клиентов и их обман это тупиковая маркетинговая модель. Стоимость подписки на такие сервисы составляет от 10 до 50 тысяч рублей в год. За эти деньги можно привлечь специалиста, который подготовит качественный комплект с полноценным аудитом бизнес-процессов и IT-инфраструктуры (да, в кризис опытный специалист может согласиться поработать даже за 10 тысяч рублей). Но если выбор пал на шаблоны, то платить за это деньги не вижу никакого смысла. К тому же разные документы можно вполне бесплатно нагуглить. Как я и обещал, для упрощения этой задачи, выложил некоторую подборку