Внимание: конфиденциальная информация
Довольно часто гражданам приходится сообщать о себе ту или иную информацию в различные органы: банк, налоговую инспекцию, органы внутренних дел и т.д. Получает определенные сведения о работниках и работодатель при приеме их на работу и в ходе трудовой деятельности. В связи с этим у работодателя возникает обязанность по хранению и защите полученных данных, которые получили название персональных. В данной статье расскажем, какие документы содержат персональные данные, как их хранить и защищать от неправомерного использования и какие действия с ними можно производить.
Получаем персональные данные
Статья 85 ТК РФ определяет персональные данные как информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника. При этом в Трудовом кодексе не уточняется, какая конкретно информация к ним относится. В силу Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) персональными данными является любая информация, имеющая отношение к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и др. (ст. 3). Данным законом регулируются отношения, связанные с получением, хранением, удалением и другими действиями с персональными данными, осуществляемыми государственными органами, органами местного самоуправления, муниципальными органами, юридическими и физическими лицами.
К сведению. 27.07.2011 вступил в силу Федеральный закон от 25.07.2011 N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных". В данном законе уточнены основные понятия, принципы и условия обработки персональных данных. Например, под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Появилось определение понятия "автоматизированная обработка персональных данных". Кроме этого, большое внимание уделено обеспечению оператором (государственный орган или юридическое (физическое) лицо, обрабатывающее и эти данные) безопасности персональных данных при их обработке.
В настоящее время, в эру информационных технологий, персональные данные могут храниться как на бумажных носителях, так и в электронном виде. Но в трудовых отношениях, как правило, используются именно бумажные документы, оригиналы или копии которых получает и хранит работодатель. К ним можно отнести:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
- документ об образовании, о квалификации или наличии специальных знаний;
- справку о наличии (отсутствии) судимости и (или) факта уголовного преследования;
- анкету, автобиографию, характеристику с прошлых мест работы;
- свидетельство о браке, о рождении ребенка, сведения о наличии инвалидности и другие документы, требующиеся работодателю для предоставления определенных льгот;
- справку о доходах физических лиц;
- документ о состоянии здоровья;
- трудовой договор, приказы о приеме на работу, о переводах, изменениях условий трудового договора, поощрениях и взысканиях, увольнении;
- личные дела и личные карточки;
- ведомости, расчетные листки и иные документы, связанные с оплатой труда работника;
- документацию по аттестации сотрудников, служебным расследованиям и т.п.
Отметим, что персональные данные работодатель в лице сотрудников кадровой службы должен получать от самого работника, что обычно и происходит при его трудоустройстве. При этом работодателю запрещено получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях, частной жизни работника, его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами (ст. 86 ТК РФ).
В силу определенных причин получить какую-либо информацию от самого работника можно не всегда. Тогда работодатель может запросить ее у третьих лиц самостоятельно, но от работника придется получить письменное согласие на это. Запросить согласие также лучше в письменном виде, указав:
- цель получения персональных данных;
- предполагаемые источники и способы получения персональных данных;
- характер подлежащих получению персональных данных;
- последствия отказа работника дать письменное согласие на их получение.
Итак, получив персональные данные, работодатель их хранит, комбинирует, передает или совершает иные действия. Все вместе это называется обработкой персональных данных (ч. 2 ст. 85 ТК РФ).
Обратите внимание! Обработка персональных данных осуществляется только с согласия работника и исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (ст. 86 ТК РФ).
Такое согласие оформляется произвольно, на бланке, который разрабатывается в организации. Рекомендуем указать в нем перечень персональных данных, цели, для которых эти данные необходимы, и действия, которые будут производиться с этими данными. При приеме на работу работник должен ознакомиться с этим документом и сделать в нем отметку о своем согласии или несогласии на обработку конкретных данных для указанных целей.
Данные должны быть защищены
Согласно п. 7 ч. 1 ст. 86 ТК РФ работодатель обязан защищать персональные данные работника от неправомерного использования или утраты - за счет своих средств и в порядке, установленном ТК РФ.
Обратите внимание! Меры по защите персональных данных разрабатываются совместно работодателем, работниками и их представителями.
Назовем основные меры по защите персональных данных.
Работодатель должен обеспечить хранение документов, содержащих персональные данные. Желательно использовать технические средства охраны, а для персональных данных, хранящихся в электронном виде, - программные средства защиты информации. Требования законодательства по обеспечению безопасности персональных данных при их электронной обработке и хранении установлены Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 17.11.2007 N 781 (далее - Положение).
Согласно ч. 2 п. 2 Положения безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
В качестве одного из средств защиты можно выделить установление паролей.
Должен быть ограничен круг лиц, имеющих доступ к персональной информации, в том числе к сведениям в электронном виде. В соответствии с п. 14 Положения лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующей информации на основании списка, утвержденного оператором или уполномоченным лицом. Таким образом, список лиц, имеющих допуск как к информационной системе, в которой происходит обработка персональных данных, так и к бумажным носителям информации, должен быть утвержден приказом руководителя, а перечень должностей, по которым полагается допуск, - локальным нормативным актом, например, положением о персональных данных.
С лицами, имеющими доступ к персональным данным, следует оформить обязательство о неразглашении персональных данных. Работника, который разгласил персональные данные другого работника, можно привлечь к ответственности - но лишь если он получил эти данные в процессе исполнения своих трудовых обязанностей и обязался не разглашать эти сведения (п. 43 Постановления Пленума ВС РФ от 17.03.2004 N 2).
Кроме этого, в ст. 89 ТК РФ в целях обеспечения защиты персональных данных, хранящихся у работодателя, определены права самих работников. Так, они имеют право:
- на полную информацию об их персональных данных и обработке этих данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника;
- на определение своих представителей для защиты своих персональных данных;
- на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- на требование об исключении или исправлении неверных или неполных персональных данных. При отказе работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии, обосновав таковое. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных.
Обратите внимание! Работники не должны отказываться от своих прав на сохранение и защиту своей личной, семейной тайны (п. 9 ст. 86 ТК РФ).
Работодатель обязан ознакомить под роспись работников и их представителей с документами, устанавливающими порядок обработки персональных данных работников, а также с их правами и обязанностями в этой области.
Право на передачу
При осуществлении деятельности организации периодически возникает необходимость передать персональные данные работника из одного структурного подразделения в другое. Так, определенные данные могут передаваться из отдела кадров в бухгалтерию, службу безопасности или другие отделы. При этом в каждый отдел передается только та часть информации, которая необходима данному отделу для выполнения своих функций. Порядок передачи также должен быть установлен положением о персональных данных.
Может работодатель передавать персональные данные и третьим лицам, но на это необходимо письменное согласие работника. Согласия можно не спрашивать в случае возникновения угрозы жизни или здоровью работника (ст. 88 ТК РФ), запроса государственных или контролирующих органов - инспекции по труду, санитарно-эпидемиологического надзора, прокуратуры, полиции, суда и т.п. и в случаях, предусмотренных федеральными законами. Например, в силу ст. 9 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" работодатель должен представлять сведения о работниках в Пенсионный фонд.
Обратите внимание! Передача персональных данных госорганам осуществляется только на основании письменного запроса, приказа или постановления и только лицу, уполномоченному совершать такие действия.
Отметим также, что запрещается сообщать персональные данные работника в коммерческих целях без его письменного согласия, а также запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения трудовой функции. Так, работодатель обязан иметь информацию о состоянии здоровья лиц, занятых на тяжелых работах, на работах с вредными и (или) опасными условиями труда, работах, связанных с движением транспорта, а также в организациях пищевой промышленности, лечебно-профилактических и детских учреждениях.
Также не требуется согласие работника на передачу работодателем в медицинскую страховую организацию сведений о ФИО, поле, возрасте, месте работы, социальном положении и адресе застрахованного (п. 3 Инструкции по ведению страхового медицинского полиса, утвержденной Постановлением Правительства РФ от 23.01.1992 N 41 "О мерах по выполнению Закона РСФСР "О медицинском страховании граждан в РСФСР").
Учет и "ответственное" хранение
Поскольку работодатель обязан соблюдать режим конфиденциальности персональных данных, то рекомендуется вести в организации журнал учета персональных данных. В этом журнале следует указывать: дату выдачи и возврата документов, наименование документа (например, "Личное дело"), срок пользования, цель выдачи, а также ФИО и должность лица, получившего документ. Если документ, содержащий персональные данные, составляет больше одного листа, передавать его следует по описи.
В целях учета персональных данных можно предусмотреть регулярные проверки наличия документов и других носителей информации, содержащих такие данные. Тогда также необходимо ведение журнала проверок.
Как и где должны храниться персональные данные работников? Конкретных требований к помещению для хранения в законодательстве нет. Но во избежание несанкционированного доступа рекомендуется оборудовать для этого отдельное помещение с запирающимися шкафами или сейфами. Если такое помещение отсутствует, хранение, как правило, осуществляется в отделе кадров. Условия хранения также определяются в локальном нормативном акте.
А теперь рассмотрим, как должен храниться основной документ, содержащий персональные данные работника, - личное дело. Ведение личных дел осуществляется в основном на государственной службе. Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела утверждено Указом Президента РФ от 30.05.2005 N 609, а для государственных гражданских служащих Минэкономразвития действует Инструкция по формированию, ведению, хранению, передаче личных дел и учету персональных данных, которая утверждена Приказом Минэкономразвития РФ от 24.10.2006 N 338.
Если конкретного нормативного правового акта, регламентирующего ведение и хранении личных дел, нет, то можно руководствоваться Методическими рекомендациями Мосгорархива (далее - Рекомендации). Итак, в личное дело прежде всего группируются документы, представленные при поступлении на работу, - анкета, автобиография, копия документа об образовании, копия паспорта. Также прилагаются документы, образующиеся в период трудовой деятельности: трудовой договор (второй экземпляр), договор о материальной ответственности (для материально ответственных сотрудников), выписки из приказов (копии приказов) о перемещении на другие должности, выписки из документов (копии документов) о награждении или о привлечении к дисциплинарной ответственности. Указанные документы прошиваются. Кроме этого, в личное дело добавляются справки о состояния здоровья, справки с места жительства, фотографии сотрудника, копия свидетельства о рождении детей и т.д. Эти документы можно не прошивать.
Примечание. Личное дело оформляется с момента приема сотрудника на предприятие, то есть со дня издания приказа о приеме на работу.
Личное дело формируется и подшивается в отдельную папку, на обложке которой указываются фамилия, имя и отчество сотрудника (в именительном падеже). В папку отдельно от документов помещается внутренняя опись.
А теперь о хранении личных дел. Хранить их необходимо в несгораемых шкафах (металлических сейфах или ящиках столов), запирающихся на ключ и имеющих приспособления для опечатывания. Доступ к личным делам должен иметь только сотрудник отдела кадров (иное уполномоченное лицо), ответственный за работу с ними, и его непосредственный начальник.
Ознакомление с личными делами должно производиться в специально отведенном для этого помещении. Если такого помещения нет, можно выделить место в кабинете кадровой службы. Для ознакомления выделяется определенное время, но не более одного рабочего дня.
В сейфе хранятся только личные дела сотрудников, с которыми заключены трудовые договоры. Если же сотрудник уволился, личное дело или передается на новое место работы, или отправляется в архив.
Основными законодательными актами, регламентирующими порядок и сроки хранения, архивации и уничтожения различных видов документов, являются Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Основные правила работы архивов организаций, одобренные Решением Коллегии Росархива от 06.02.2002, приказы Минкультуры*(1). Так, в соответствии с Перечнем личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов, работников, имеющих государственные и иные звания, премии, награды, степени и звания, хранятся в архиве постоянно, дела иных работников - 75 лет.
Отдельно рассмотрим вопросы организации учета и хранения трудовых книжек. Правила ведения и хранения трудовых книжек утверждены Постановлением Правительства РФ от 16.04.2003 N 225 (далее - Правила). Также можно использовать Рекомендации. Поскольку трудовая книжка является самостоятельным документом, в личное дело она не подшивается. Учет бланков и вкладышей в трудовую книжку ведется в отдельной приходно-расходной книге. Должна также быть книга учета движения трудовых книжек и вкладышей в них. Книга учета бланков ведется бухгалтерией организации, а книга учета движения - отделом кадров. В последней регистрируются все трудовые книжки, принятые от работников при поступлении на работу, а также трудовые книжки и вкладыши в них с указанием серии и номера, выданные впервые.
На работодателя возлагается обязанность по учету и хранению трудовых книжек как бланков строгой отчетности, которые должны храниться в сейфах, металлических шкафах или специальных помещениях, позволяющих обеспечить их сохранность (п. 6.2 Положения о документах и документообороте в бухгалтерском учете от 29.07.1983 N 105, утвержденного Минфином СССР). Хранение трудовых книжек согласно Рекомендациям осуществляется в алфавитном порядке в папках, снабженных клапанами, коробках или ящиках.
Невостребованные трудовые книжки хранятся у работодателя до момента их получения работником или (в случае смерти работника) его родственником (п. 43 Правил). Невостребованные подлинные личные документы, к которым относятся и трудовые книжки, хранятся отдельно от остальных книжек в течение 75 лет (ст. 664 Перечня).
Обратите внимание! Ответственность за обеспечение работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей в них возлагается на организацию, а ответственность за непосредственное ведение, хранение, учет и выдачу трудовых книжек несет специально уполномоченное лицо, назначаемое приказом (распоряжением) работодателя.
Немного о личных карточках. Ведение личных карточек работников предприятия осуществляется в соответствии с Указаниями по применению и заполнению форм первичной учетной документации по учету труда и его оплаты, утвержденными Постановлением Госкомстата РФ от 05.01.2004 от N 1. Для лиц, замещающих государственные (муниципальные) должности государственной службы, применяется карточка по форме Т-2 ГС (МС), для научных работников в научных, научно-исследовательских, образовательных и других учреждениях, осуществляющих деятельность в сфере образования, науки и технологии, - по форме Т-4.
Личные карточки хранятся в алфавитном порядке. Запрещается присоединять к ним какие-либо другие документы. После увольнения работника его карточка изымается из общего алфавитного порядка и в дальнейшем хранится отдельно 75 лет (такие карточки группируются в хронологическом порядке).
Иные кадровые документы, не вошедшие в состав личных дел:
- такие как трудовые договоры, соглашения, характеристики, - хранятся 75 лет;
- справки, докладные, копии приказов, заявления и т.п. - 5 лет.
Анкеты, автобиографии, резюме, заявления лиц, не принятых на работу, хранятся год.
В заключение
Обращаем внимание не только работодателя, но и остальных работников, имеющих доступ к персональным данным, что ст. 90 ТК РФ предусмотрена ответственность лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту этих данных. Такие лица привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а к гражданско-правовой, административной и уголовной - в порядке, установленном федеральными законами. И ответственность за эти нарушения достаточно серьезная: от штрафных санкций, исправительных работ, лишения права занимать определенные должности до лишения свободы на срок до пяти лет.
В связи с этим в каждой организации необходима эффективная система обеспечения обработки и защиты персональных данных работников. В том числе должен быть разработан локальный нормативный акт, определяющий основные требования к порядку получения, хранения, передачи и другого использования персональных данных, основанные на нормах федерального законодательства; заключены соглашения о неразглашении персональных сведений с сотрудниками, имеющими к ним доступ, и запрошено согласие работников на обработку их данных.
Л.В. Куревина,
редактор журнала
"Отдел кадров бюджетного учреждения"
"Отдел кадров бюджетного учреждения", N 8, август 2011 г.
ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД
*(1) Приказы от 25.08.2010 N 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" (далее - Перечень), от 31.07.2007 N 1182 "Об утверждении Перечня типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения".