Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств, в порядке, установленном настоящим Кодексом и иными федеральными законами.
Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним. Для обеспечения конфиденциальности персональных данных необходимо решение следующих задач:
-четкая регламентация должностных обязанностей лиц, которых связаны с обработкой персональных данных (в трудовом договоре и (или) должностной инструкции необходимо прописать права, обязанности, ответственность данных должностных лиц за несоблюдение конфиденциальности и правил хранения персональных данных);
-наличие четкой разрешительной системы доступа к документам, содержащим персональные данные;
-регулярного контроля за наличием и сохранностью документов, содержащих персональные данные, как в отделе кадров, так и в других структурных подразделениях организации.
Число людей, которые могут иметь доступ к персональной информации работников должно быть ограничено списком лиц, доступ которых к персональным данным необходим для выполнения их служебных (трудовых) обязанностей. Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в локально нормативных актах организации. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, руководитель организации, работодатель – индивидуальный предприниматель, руководители структурных подразделений. Таким образом, работники бухгалтерии, которые вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, данные требующие для персонифицированного и налогового учета).
Работодателю необходимо также определить порядок передачи персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя, а именно установить:
-куда может быть передана информация, содержащая персональные данные работника (например, в подразделения организации: бухгалтерию, в службу безопасности);
-основание для передачи персональных данных работника (например, письменное разрешение руководителя организации, работодателя – индивидуального предпринимателя или начальника отдела кадров);
-перечень лиц, имеющих право передачи персональных данных работника.
Согласно статье 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников в организации устанавливается работодателем с соблюдением требований Кодекса. Он может быть изложен в инструкции, регламенте или ином документе по работе с кадровой информацией. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Документы, содержащие персональные данные работников (личные дела, картотеки, учетные журналы) необходимо в рабочее и нерабочее время хранить в специально оборудованных шкафах или сейфах. Трудовые книжки работников необходимо хранить в сейфе отдельно от личных дел. По правилам в конце рабочего дня все личные дела должны сдаваться в отдел кадров. Доступ к персональным данным работников, которые хранятся в электронном виде, должен быть технически возможен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций. Все документы по личному составу должны обязательно сдаваться в архив.
При передаче персональной информации относительно работника работодатель должен руководствоваться ст. 88 ТК РФ. В частности, работодатель обязан соблюдать требования, предусмотренные данной статьей.
Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам (милиции и другим контролирующим органам) в порядке, установленном федеральным законом. Ни в коем случае нельзя давать подобную информацию по телефону. Основанием для передачи персональных данных работника является письменный запрос от должностного лица соответствующего государственного органа, а если представители контролирующих органов пришли к вам лично - служебное удостоверение и приказ, где указаны цели сбора подобной информации.
Работодатель должен обеспечить ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.
Если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника, либо отсутствует письменное согласие работника на предоставление его персональных сведений (образец заполнения в приложении № 7), работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.
Работник имеет право на свободный бесплатный доступ к своим персональным данным, включая получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом (ст. 89 ТК РФ).
Исходя из положений «Перечня типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», утвержденного Росархивом 06.10.2000г., данные документы относятся к документам долговременного хранения и хранятся 50, 75 лет или постоянно.
Бывший работник вправе обращаться к работодателю за информацией относительно своей прошлой работы и информации, которая осталась храниться у бывшего работодателя, поскольку она затрагивает права и свободы работника и может быть необходима для их реализации. Работнику могут понадобиться данные, например, о зарплате, которую он получал, состоя в трудовых отношениях с прежним работодателем, о выполняемых им трудовых функциях и другие сведения. Работодатель обязан не позднее трех дней со дня письменного обращения к нему бывшего работника предоставить надлежащим образом заверенные документы, связанные с работой у него этого работника.
Таким образом, вышеизложенные статьи главы 14 «Защита персональных данных работника» ТК РФ обязывают работодателя принять локальный нормативный акт, устанавливающий порядок обработки, хранения и передачи персональных данных работников, а также их права и обязанности в этой области.
Работодателю целесообразно включить в состав кадровой документации Положение о защите персональных данных работников (примерный образец заполнения в приложении № 4) . Данное положение является локальным нормативным актом, в котором регламентируются требования по обработке персональных данных работника, хранению и использованию персональных данных и гарантии их защиты. Положение о персональных данных работников относится к разновидности обязательных кадровых документов, прямо предусмотренных ТК РФ.
В соответствии с требованиями Трудового кодекса РФ, в Положение целесообразно включить следующие разделы:
-цели и задачи обработки персональных данных, основные понятия;
-законодательные акты - основания для разработки Положения;
-порядок ввода в действие и внесения изменений в Положение;
-перечень обрабатываемых персональных данных;
-перечень структурных подразделений и носителей информации, в которых накапливаются и хранятся персональные данные работников;
-способ сбора персональных данных и источник их получения (на основании пункта 3 статьи 86 ТК РФ);
-перечень лиц (по должностям), которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
-способы обработки и использования персональных данных, применяемые работодателем;
-сроки обработки персональных данных, в том числе сроки их хранения;
-меры защиты персональных данных от несанкционированного доступа не только у данного работодателя, но и относительно третьей стороны;
-ответственность за разглашение конфиденциальной информации, связанной с персональными данными работника.
Положение принимается работодателем единолично, оно вступает в силу после процедуры утверждения. Утверждает Положение о персональных данных работника руководитель организации или уполномоченное им лицо – для юридических лиц, или работодатель - индивидуальный предприниматель.
Работник должен быть ознакомлен с Положением о персональных данных под роспись. Роспись об ознакомлении с положением содержит следующие данные: фамилия, имя, отчество работника, структурное подразделение, должность, дата, подпись.
Необходимость защиты персональных данных, обрабатываемых операторами, обусловлена не только тем, что с 1 января и не позднее 1 июля 2011г. все информационные системы персональных данных должны быть приведены в соответствие с Федеральным Законом о персональных данных, но и тем, что последствия неправомерных действий с персональными данными приводят к ущербам на уровне личности, общества и государства.