Что признается персональными данными? Какие персональные данные работников организация вправе обрабатывать, а какие – нет, в каких документах они могут содержаться? От кого организация вправе получать такие данные, кому и в каком порядке передавать? В чем сложность определения сроков хранения носителей информации, содержащих персональные данные? Какие сроки установлены для ответа на запросы граждан об их персональных данных? Каким образом организовать работу с данными работников и их защиту так, чтобы избежать привлечения к ответственности за несоблюдение требований законодательства?
Опубликован образец обязательного для всех организаций внутреннего нормативного документа – Положения об обработке и защите персональных данных.
Выходя из дома, вы по привычке проверяете, взяли ли с собой паспорт. Задумайтесь, почему вы это делаете? Все просто: паспорт – это основной документ, содержащий персональные данные человека, по которым его можно идентифицировать. Именно этот документ вам могут «предложить» предъявить сотрудники милиции, охранных ведомств и т.п. Или вспомните, как вы устраивались на работу и какие при этом документы представляли в кадровую службу. А ведь запрашиваемые при приеме на работу документы, копии которых потом хранятся в кадровой службе, тоже содержат персональные данные.
Ни для кого не секрет, что сейчас «черный рынок» изобилует разными информационными базами данных, включающими и так называемые персональные данные. И это несмотря на то, что законодательство серьезно ограничивает действия по сбору, учету, изменению, обновлению, хранению, уточнению персональных данных, устанавливая ответственность за нарушение законодательства при работе с персональными данными как для организаций, так и для отдельных должностных лиц. Но без таких данных не может обойтись ни одна компания. И, соответственно, без знаний о правилах работы с ними тоже.
После принятия нового Трудового кодекса Российской Федерации (далее – ТК РФ) и специального Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) каждая, подчеркиваем, каждая организация обязана иметь у себя специальный локальный (внутренний) нормативный акт – чаще всего его называют Положение о персональных данных, – который устанавливает порядок работы с ними. Если у вас такого документа нет, то при проверке трудовой инспекции это будет квалифицировано как нарушение трудового законодательства. И этим перечень нарушений порядка работы с персональными данными не исчерпывается.
Так давайте посмотрим, что представляют собой «персональные данные», почему так важно знать правила работы с ними и каковы, собственно говоря, эти правила, которые так необходимо соблюдать. Авторы статьи предлагают свое видение данного вопроса, а также разработанный образец Положения об обработке и защите персональных данных, который вы сможете взять за основу.
Что признается персональными данными
Человек, постоянно находясь в отношениях с другими людьми, в каких-то ситуациях сам может определять, какие персональные данные и кому он может сообщать, а в других вынужден сообщать все затребованные данные (например, по требованию уполномоченных государственных органов). Таким образом, с одной стороны, неприкосновенность частной жизни каждого человека охраняется законом, а с другой – его персональные данные требуются в ряде случаев как своеобразное средство его индивидуализации в обществе, которое необходимо для осуществления его прав и исполнения возложенных обязанностей.
Прежде чем говорить о том, как правильно обращаться с персональными данными, чтобы не нарушить ничьи права, не навлечь гнев проверяющих органов и в то же время защитить законные интересы своей компании, важно определить, что такое «персональные данные» и чем они отличаются от всех других сведений, с которыми приходится иметь дело практически каждый день. Для этого обратимся к закону, а вернее – сразу к двум законам:
-
статья 85 ТК РФ определяет персональные данные работника как информацию, которая необходима работодателю в связи с трудовыми отношениями и касается конкретного работника. Как видим, данная статья недостаточно четко определяет, что может быть отнесено к персональным данным. Зато с очевидностью можно сделать вывод, что персональные данные в ТК РФ упоминаются исключительно по отношению к работникам, т.е. физическим лицам, которые заключили трудовой договор с работодателем;
-
статья 3 Закона о персональных данных содержит более развернутое определение: персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, и Закон о персональных данных, и ТК РФ указывают, что персональные данные – это данные о конкретном физическом лице, которые позволяют его идентифицировать. Следовательно, персональными могут быть только данные о физических лицах, но не об организациях (юридических лицах). Если Закон о персональных данных регулирует отношения, связанные с персональными данными любого человека, то ТК РФ устанавливает особенности обращения с персональными данными тех людей, которые состоят в трудовых отношениях с конкретным работодателем.
На основе анализа положений указанных законов можно прийти к выводу, что по своей сути персональные данные – это такая информация, которая непосредственно связана с личностью и позволяет идентифицировать человека. Обратите внимание, что перечень информации о человеке, относящейся к персональным данным, не является исчерпывающим.
Среди многообразия случаев использования персональных данных в рамках организации можно выделить следующие основные:
- данные о контрагентах по гражданско-правовым договорам – физических лицах (например, при заключении с ними договоров подряда, возмездного оказания услуг, авторских договоров). Соответственно, на данные о контрагентах, являющихся юридическими лицами, правила, касающиеся персональных данных, не распространяются;
- данные о работниках;
- данные о физических лицах – учредителях и участниках юридического лица.
Согласно перечисленным законам, а также Указу Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» персональные данные отнесены к категории сведений конфиденциального характера. Это значит, что существуют серьезные ограничения, связанные с обработкой таких данных.
Закон устанавливает требования при обработке (получение, хранение, комбинирование, передача или другое использование) работодателем персональных данных работника, а также необходимость защиты персональных данных, которая подкреплена возможностью применения мер ответственности1 как к самой организации, так и к отдельным должностным лицам, допустившим нарушение правил работы с такой конфиденциальной информацией.
Цели обработки и защиты персональных данных работников
В 2002 году вступил в силу новый ТК РФ, и организации столкнулись с необходимостью соблюдать требования главы 14 ТК РФ, носящей название «Защита персональных данных работника».
Необходимость обработки организацией персональных данных своих...