В рамках взаимоотношений между работодателем и сотрудником происходит передача информации, имеющей отношение к личности гражданина. Эти сведения используются работодателем в целях кадрового учета, изучения вопроса соответствия работника требованиям должностных инструкций, начисления зарплаты и уплаты НДФЛ. В соответствии с законодательством все способы использования данных должны быть регламентированы. В этих целях в организации принимается локальный нормативно-правовой акт – Положение о персональных данных работника.
Положение и его структура
Утвержденного на уровне нормативного акта Российской Федерации образца Положения о персональных данных работника не существует. Можно ориентироваться на предлагаемые крупными копаниями форматы документов, которые размещены на их сайтах. В структуре Положения должны выделяться следующие блоки:
нормативно-правовая база;
- перечень информации, которая относится к персональным данным, так работодатель не вправе запрашивать сведения о политических, религиозных предпочтениях сотрудника, его частной жизни, иные данные, не имеющие отношения к выполнению трудовых обязанностей;
- принципы защиты данных, основанные на комбинировании личной ответственности, технических и организационным мерах;
- требования к обработке персональных данных;
- хранение и передача сведений. Регламенты запроса согласования на передачу данных третьим лицам;
- ответственность за нарушение норм Положения: дисциплинарная и, в предусмотренных законом случаях, материальная;
- порядок его изменения и пересмотра.
Одной из значимых частей Положения о персональных данных должен стать раздел о правах работника в отношении предоставленной им информации и порядка ее обработки. Приложением к Положению должны стать формы согласия сотрудника на использование и обработку его персональных данных и согласие на предоставление дополнительной информации.
Положение утверждается приказом, подписанным директором организации, образец приказа часто выкладывается вместе с формой Положения. В приказе определяются:
- срок, с которого документ начинает действовать;
- лицо, ответственное за выполнение его требований;
- сотрудник, отвечающий за выполнение приказа;
- срок для ознакомления работников с Положением.
Хранится документ после ознакомления в делах компании и при необходимости размещается на сайте организации. Ознакомление производится путем изучения сотрудником текста и последующей росписи в журнале.
Подготовка Положения снимет множество вопросов в отношениях между компанией и работниками. Его наличие может проверяться в ходе аудиторских проверок. Если будет установлено нарушения требований Положения со стороны лица, допущенного к использованию персональных данных, факт его ознакомления с документом станет основанием для направления искового заявления в суд.
Нормативно-правовое регулирование
Трудовой кодекс РФ возлагает на компанию выполнение задач по сохранности тех персональных данных работника, которые она использует в своих целях. Их утечка недопустима, работодатель должен разработать и внедрить комплекс организационных и технических мер, которые обеспечат сохранность данных, недопустимость их разглашения и неправомерного использования. Законодательство о защите персональных данных определяет дополнительные требования к использованию данных о работнике, принципы, на которых должна основываться работа с ними.
Общие требования к обработке данных
Федеральный закон «О персональных данных» устанавливает те требования к их обработке и использованию, которые обязательно должны быть отражены в Положении. Среди этих принципов:
- личная ответственность каждого лица, которому поручена работа с персональными данными, за их правомерное использование и сохранность. Никто из ответственных сотрудников не имеет права самостоятельно передавать персональные данные работников организации третьим лицам;
- разграничение доступа к информации между разными сотрудниками и подразделениями компании. Никто не должен иметь доступ к персональным данным в совокупности и к полному комплексу информации;
- установление системы и иерархии доступа, разграничение того, с какими данными имеет право работать сотрудник;
- проведение регулярных проверок соблюдения требований законодательства, нормативных актов и Положения.
Это не единственные принципы использования персональных данных работника. Важной задачей Положения является информирование каждого лица, имеющего доступ к персональным данным, о требованиях закона и ответственности за их несоблюдение, например, при несанкционированной передаче данных третьим лицам. Эта задача решается отнесением персональных данных к коммерческой тайне и включение в трудовые договоры обязательств по ее неразглашению. Тогда, в случае утечки данных работника, виновный может быть уволен и к нему могут быть предъявлены требования о возмещении вреда.