Вторая группа документов связана с вопросами передачи документов и включает в себя акты, содержащие отдельные положения о персональных данных. Их точные наименования могут отличаться. При характеристике документов важно отметить общие направления правового регулирования. Это Положение о защите информации, Инструкция по делопроизводству. Положение о хранении и доступе к документации, Номенклатура дел и документов, Порядок использования электронной почты, Положение об информационном режиме, Положение о конфиденциальной информации и др. К этой же группе относятся специализированные локальные нормативные правовые акты о защите персональных данных. Они занимают особенное место среди иных актов второй группы. Они отличаются комплексным характером правового регулирования указанных вопросов. Как правило, они называются Положениями о защите персональных данных, Положениями о персонале, Положениями по обработке персональных данных работника.
Коллективный договор является основным локальным правовым актом организации. Согласно ст. 40 ТК РФ коллективный договор - это правовой акт, регулирующий социально-трудовые отношения в организации и заключаемый работниками и работодателем в лице их представителей. Коллективный договор отличается от иных локальных правовых актов особым порядком принятия, широким кругом регулируемых отношений. Как правило, значительное количество локальных нормативных правовых актов принимается в качестве приложений к нему. Нормы, регулирующие отношения по защите персональных данных работника, отражаются в коллективных договорах опосредованно.
Одним из локальных нормативных правовых актов, в котором может устанавливаться порядок хранения и использования персональных данных, являются правила внутреннего трудового распорядка организации. Основываясь на требованиях ТК РФ, в разделе «Права и обязанности работников» уместно перечислить права и обязанности работников в этой области. Однако на практике такие примеры встречаются редко. В положения об отделениях и службах организации нормы о защите персональных данных работников обычно включаются разделы о целях и задачах деятельности функционального органа организации.
Как правило, нормы об использовании и защите конфиденциальной информации закрепляются в одних и тех же или в смежных пунктах положений. Для обозначения использования персональных данных употребляются формулировки «учет кадров», «учет личного состава», «ведение установленной документации по кадрам», «прием, заполнение, хранение и выдача документации» и др. Защита персональных данных отражается в документах как «соблюдение режима конфиденциальности документов», «обеспечение ограниченного доступа к документации», «соблюдение требований законов и иных нормативных актов о порядке доступа и хранения документов по личному составу», «создание необходимых условий сохранности документации персонала» и др.
Существенное количество норм о защите персональных данных работника закреплено в локальных правовых актах организации, регламентирующих информационный оборот, В положениях, инструкциях о делопроизводстве, о порядке заключения договоров, о защите информации, о режиме конфиденциальности и др. регламентируются стадии получения (создания), передачи, хранения и уничтожения сведений. Эти акты регулируют отношения о передаче документированной информации внутри организации и за ее пределами.
В отличие от открытых документов к обработке конфиденциальных документов предъявляются требования, которые в определенной степени гарантируют защиту носителей информации и самой информации от потенциальных и реальных угроз безопасности. Одним из таких требований является определение и централизация всех стадий, процедур и операций по обработке и хранению конфиденциальных документов.
Пункт 6 ст. 86 ТК РФ запрещает работодателю при принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Указанное ограничение касается создания персональных данных в электронном виде. Это требование связано с тем, что новые методы обработки информации, повышая уровень информированности общества и коэффициент полезности использования его информационных ресурсов, одновременно увеличивают степень уязвимости информации.
Ряд документов организации регулирует отношения исключительно в сфере использования информационных технологий. Как правило, в каждой организации утверждается самостоятельная, учитывающая ее специфику, делопроизводственная инструкция о работе с документами, содержащими сведения конфиденциального характера. На уровне организации принимаются документы о порядке доступа к локальной информационной сети, о защите критически важной информации, об использовании электронной почты, о правилах доступа к ресурсам Интернета и др.
Номенклатура дел не только обеспечивает единый подход к классификации документов организации, но и устанавливает сроки хранения документов. Этот документ выходит за рамки чисто делопроизводственного и архивного документа, так как только номенклатура дел (если она ведется) дает полную информацию обо всех видах и разновидностях документов и дел, которые должны вестись данным юридическим лицом, и объективно отражает в образующихся документальных комплексах все юридические, организационные, финансовые, производственные и другие связи юридического лица.
Вопрос о структуре специализированного акта о защите персональных данных работников относится к числу дискуссионных. Л.В. Тихомирова[81] полагает, что в документы организации, устанавливающие порядок хранения и использования персональных данных следует включать:
1. Перечень подлежащих обработке персональных данных, источники их получения, продолжительность хранения, список органов и организаций, которые в соответствии с законодательством правомочны получать эти данные;
2. Перечень документов, подлежащих получению;
3. Порядок создания в организации именных картотек;
4. Меры, принимаемые для обеспечения безопасности обработки данных;
5. Права и обязанности работников, работодателя и их представителей в области обработки персональных данных и выработке мер по их защите;
6. Служба (структурное подразделение), которой поручается хранение и использование персональных данных;
7. Перечни лиц, правомочных обрабатывать персональные данные;
8. Категории работников, которые имеют право на непосредственный доступ к персональным данным;
9. Наименования, характеристики, назначение видов обработки;
10. Правила автоматизированной обработки и электронного получения персональных данных;
11. Порядок допуска работника к своим персональным данным;
12. Порядок и условия передачи персональных данных третьим лицам;
13. Сроки хранения персональных данных работников;
14. Порядок внесения исправлений и дополнений.
Существуют разные мнения об обязательности включения положений о защите персональных данных в локальные нормативные акты и об обязательности разработки и принятия специализированного нормативного документа организации по указанным вопросам. Пункт 8 ст. 86 ТК РФ обязывает работодателя и его представителей при обработке персональных данных знакомить под расписку работников и их представителей с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях. Пункт 10 ст. 86 ТК РФ обязывает работодателей, работников и их представителей к совместной разработке мер защиты персональных данных. Часть 5 ст. 88 ТК РФ требует осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку. Эти законодательные положения в литературе трактуются по-разному.
В.И. Андреева полагает, что законодательное требование об ознакомлении под расписку работника с документами организации о порядке обработки персональных данных свидетельствует об обязанности работодателя по разработке и принятию такого документов[82].
Л.В. Тихомирова[83] указывает, что регламентация порядка передачи персональных данных должна быть закреплена, например, в правилах внутреннего трудового распорядка, в положении о персонале, и что работодатель несет соответствующую обязанность. Что касается разработки специализированного локального акта, то она считает, что Трудовой кодекс РФ закрепил возможность, а не обязанность работодателя по принятию соответствующего отдельного нормативного акта.