Логин или email Регистрация Пароль Я забыл пароль


Войти при помощи:

Аналитика / Налогообложение / Практические аспекты обработки персональных данных работника

Практические аспекты обработки персональных данных работника

24.06.2011
PwC
Автор: Алексей Дингин, старший юрист юридической практики PwC Legal

При найме сотрудника компания вынуждена собирать определенную личную информацию о своих работниках, которая необходима ей в связи с трудовыми отношениями. Законодательство устанавливает особые правила обращения с персональными данными работника. В сфере трудовых отношений данный вопрос регулируется соответствующими положениями  Трудового кодекса Российской Федерации, а также Федеральным законом от 27 июня 2006 года № 152-ФЗ «О персональных данных» (далее – «Закон») и принятыми в его развитие подзаконными актами, регулирующими вопросы обработки персональных данных в информационных системах.

Несмотря на то, что Закон действует уже на протяжении нескольких лет, некоторые его положения до сих пор не вступили в силу. В частности, с 1 июля 2011 года заканчивается «переходный период» действия Закона – в это время информационные системы персональных данных должны были быть приведены в соответствие с требованиями Закона. Таким образом, до 1 июля 2011 года компании должны привести свои информационные системы персональных данных в соответствие с требованиями законодательства.

Согласно статье 3 Закона информационная система персональных данных представляет собой совокупность персональных данных, содержащейся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. С учётом того, что многие компании осуществляют обработку персональных данных своих работников с использованием компьютерной техники и специального программного обеспечения, необходимость соответствия требованиям Закона является актуальной для многих из них. При этом с точки зрения определения круга требований, которым должна соответствовать компания, важным критерием является факт использования средств автоматизации.

Обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека[1]. Из приведенного положения законодательства следует очень важный вывод – если непосредственная обработка персональных данных в информационной системе осуществляется с привлечением человека, то такая обработка персональных данных не является автоматизированной, что сужает круг требований, которым должна соответствовать компания. С учётом того, что большинство компаний осуществляют обработку персональных данных именно таким способом, в дальнейшем мы остановимся более подробно именно на этом типе обработки персональных данных. Стоит также отметить, что факт включения персональных данных в информационную систему не означает наличие средств автоматизации при обработке персональных данных.

Действующее законодательство устанавливает определенные требования для обработки персональных данных, осуществляемой без использования средств автоматизации:

  1. различные цели обработки персональных данных требуют использования раздельных материальных носителей и их раздельное хранение;
  2. лица, осуществляющие обработку персональных данных, должны быть проинформированы о правилах такой обработки;
  3. типовые формы документов, которые содержат персональные данные, должны отвечать определённым требованиям;
  4. при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключаться несанкционированный к ним доступ;
  5. оператор персональных данных должен установить правила обработки персональных данных в локальном нормативном акте (например, места хранения персональных данных, перечень лиц имеющих доступ к персональным данным, др.).

Также одним из важных требований является обеспечение безопасности персональных данных, в том числе от несанкционированного доступа или изменения содержащихся в информационной системе данных. Такая безопасность достигается за счёт ряда мер организационного и технического свойства.

Основные организационные меры заключаются в принятии соответствующего локального нормативного акта, который будет регулировать вопросы, связанные с персональными данными. Данный локальный нормативный акт, как правило, регулирует следующие вопросы: (i) сбор, обработка и хранение персональных данных; (ii) защита персональных данных работника; (iii) передача персональных данных; (iv) ответственность за разглашение персональных данных работника; (v) иные применимые положения. Работодатель обязан ознакомить работников под роспись с таким локальным нормативным актом. При этом при приеме на работу это должно быть сделано до подписания трудового договора с работником. В части технических мер можно выделить использование специальных средств защиты информации (шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам и программно-технических воздействий на технические средства обработки персональных данных).

Наличие в компании положения о персональных данных важно не только с точки зрения соблюдения требований законодательства, но и с практической точки зрения. Нередко перед работодателем встает вопрос о передаче персональных данных того или иного работника третьей стороне. Так, подобная ситуация может возникнуть при заключении договора медицинского страхования в пользу работников (корпоративная программа добровольного медицинского страхования) и опосредованной этим передаче персональных данных работника страховой компании; при передаче функций по ведению бухгалтерского учета третьей стороне, при обращении к консультантам в сфере налогообложения, к юристам за получением соответствующей консультации и т.д.

Представляется интересным ситуация, сложившаяся у одного из наших клиентов в связи с передачей персональных данных работника. Так, клиент попросил нас подготовить проект соглашения о расторжении трудового договора без указаний персональных данных конкретных работников (т.е., ФИО, паспортные данные, адрес места проживания и т.д.). После одобрения клиентом проекта подготовленного соглашения клиент хотел обратиться к нам с просьбой подготовить полный комплект документов на каждого работника, который был необходим для расторжения трудового договора по соглашению сторон (проект соглашения о расторжении, кадровые приказы, др.). Однако при попытке передачи соответствующих персональных данных клиент столкнулся с тем, что у него отсутствовал локальный нормативный акт по обработке персональных данных, и не было получено согласие от работников о передаче их персональных данных третьим лицам. Клиент не хотел раскрывать информацию о принятом решении относительно увольнения работников даже руководящим работникам компании. Однако клиенту пришлось сообщить эту информацию главному бухгалтеру компании для того, чтобы он подготовил комплекты документов на каждого работника. В указанном случае, если бы клиент подготовил и утвердил надлежащим образом положение о персональных данных, тогда бы у него не возникло сложностей с раскрытием персональных данных работников третьим лицам. В результате этого, информацию о принятом решении не удалось сохранить в конфиденциальности, что создало дополнительные сложности в переговорах с работниками о заключении соглашения о расторжении трудового договора.

Подводя итог выше изложенному, хотелось бы еще раз обратить внимание на то, что для соответствия требованиям законодательства при обработке персональных данных работников для любой компании крайне важно осуществить оценку существующего порядка обработки персональных данных с точки зрения наличия необходимых документов (например, положение о порядке обработки персональных данных, согласие субъекта персональных данных). Кроме того, необходимо осуществить проверку соответствия информационных систем персональных данных установленным требованиям. Все это позволит избежать нарушений законодательства, регулирующего вопросы обработки персональных данных работника.

 


[1] Пункт 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённый Постановлением Правительства Российской Федерации от 15 сентября 2008 № 687

Разместить:

Вы также можете   зарегистрироваться  и/или  авторизоваться