С 1 января 2007 года вступил в силу закон о персональных
данных. Он регулирует отношения в области сбора, изменения и передачи
сведений, в том числе и между сотрудниками и работодателем. Теперь
бухгалтеру придется учитывать нововведения, оформляя сотрудника на
работу, составляя расчетно-платежную ведомость или доверенность.
Разобраться в тонкостях помогут обновления к бератору «Сотрудники и Вы».
Какие сведения – тайна
В повседневной деятельности фирмы персональные данные
работника – это в первую очередь информация, необходимая работодателю,
чтобы заключить трудовой договор, заполнить личную карточку № Т-2,
помочь работнику в обучении, продвижении по службе, обеспечить его
личную безопасность, контролировать количество и качество выполняемой им
работы. Это, например, паспортные данные, семейное положение, сведения
об образовании, номер страхового свидетельства обязательного пенсионного
страхования, сведения о трудовой деятельности.
Определение понятия персональных данных содержит статья 2
Закона № 152-ФЗ – это «любая информация, относящаяся к определенному или
определяемому на основании такой информации физическому лицу (субъекту
персональных данных)», в том числе:
– фамилия, имя, отчество;
– год, месяц, дата и место рождения;
– адрес;
– семейное;
– социальное, имущественное положение;
– образование;
– профессия;
– доходы.
Этот перечень не является закрытым. И в него можно включить,
практически все сведения, которые работодатель получает о работнике.
«Закрытые» операции
Новый закон распространяется на деятельность, связанную с
обработкой персональных данных. Под обработкой же понимают «действия с
персональными данными, включая сбор, систематизацию, накопление,
хранение, уточнение, изменение, использование, распространение (в том
числе передачу), обезличивание, блокирование, уничтожение персональных
данных» (ст. 2 Закона № 152-ФЗ). Обратите внимание: понятие «обработка»
по новому закону включает в себя сбор, распространение и передачу
сведений. То есть обычные операции, которые бухгалтер или кадровик
совершают чуть ли не ежедневно.
Есть еще один момент, на который нужно обратить особое
внимание. Теперь по общему правилу, прежде чем приступить к сбору,
обработке или передаче персональных сведений о сотруднике, нужно
получить его письменное согласие (ст. 6, ст. 9 Закона № 152-ФЗ).
Разрешение работник может написать в произвольной форме. Однако есть
некоторые реквизиты, которые в нем обязательно должны присутствовать
(п. 4 ст. 9 Закона № 152-ФЗ):
– фамилия, имя, отчество, адрес сотрудника, номер основного документа,
удостоверяющего личность, сведения о дате выдачи указанного документа и
выдавшем его органе;
– наименование и адрес фирмы, получающей согласие;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых дается согласие;
– перечень действий с персональными данными, на совершение которых
дается согласие, общее описание используемых фирмой способов обработки
сведений;
– срок, в течение которого действует согласие, а также порядок его
отзыва.
Исключения из правил
Что же, фамилию и имя сотрудника приходится использовать
довольно-таки часто. Неужели теперь бухгалтеру придется все время
спрашивать разрешение?
Вовсе нет. Ведь из этого правила есть исключения. Например,
получать согласие от сотрудника не требуется, если сбор или изменение
сведений проводят для исполнения договора, одной из сторон которого
является сам работник (подп. 3 п. 2 ст. 6 Закона № 152-ФЗ). Например,
если сотрудника приняли на работу и необходимо оформить пропуск. В этом
случае передать сведения в охрану можно, ведь пропуск нужен для того,
чтобы сотрудник мог приходить на работу и исполнять свои обязанности по
трудовому договору. Не нужно дополнительного разрешения и для указания
данных сотрудника в доверенностях, приказах, расчетно-платежных
ведомостях и в других рабочих документах.
Не требуется согласие сотрудника и на обработку персональных
данных для статистических или научных целей. Однако в этом случае есть
обязательное условие, которое фирма должна соблюдать: используемые
данные должны быть обезличены (подп. 3 ст. 6 Закона № 152-ФЗ), чтобы при
использовании этой информации, нельзя было установить прямую связь между
данными и конкретным человеком. Например, составляя статотчетность о
численности и фонде оплаты труда, бухгалтер может не волноваться. Ведь
сведения, передаваемые управлению статистики, нельзя соотнести с
определенным работником.
Работодатель может также собирать информацию без согласия
работника, например, из различных медицинских учреждений о
противопоказаниях и ограничениях в трудовой деятельности. Ведь главная
цель такого действия – предупредить и предотвратить угрозу жизни и
здоровью работника (подп. 4 п. 2 ст. 6 Закона № 152-ФЗ).
Не нужно согласие и на передачу сведений и в случаях,
предусмотренных федеральными законами. Например, статья 228 Трудового
кодекса прямо определяет, что если на производстве произошел несчастный
случай, то об этом в обязательном порядке должны быть незамедлительно
проинформированы родственники пострадавшего. А также ряд государственных
и местных властных структур.
Можно собирать, обрабатывать и передавать без согласия
сотрудников и любые общедоступные данные. Это сведения, которые
содержатся в общедоступных источниках. Например, в справочниках или
адресных книгах могут быть указаны фамилия, имя, отчество, год и место
рождения, адрес, абонентский номер, сведения о профессии и другие
сведения о человеке. Эти данные фирма вполне может использовать.
Проблема в том, что общедоступные источники могут нарушить закон и
опубликовать данные без согласия человека, а организация об этом не
знать и спокойно накапливать, обрабатывать и передавать сведения. Но
наказать в этом случае фирму будет крайне тяжело.
Трудовой кодекс действует
Положения, которые регламентируют порядок работы и защиту
персональных данных, есть и в Трудовом кодексе. Они продолжают
действовать, несмотря на то, что появился новый закон. И новый закон
просто дополняет положения Трудового кодекса. Ведь в случае противоречия
между Трудовым кодексом и другими федеральными законами нужно применять
нормы Трудового кодекса (ст. 5 ТК).
В октябре 2006 года вступила в силу новая редакция кодекса.
Внесены изменения и в главу 14 «Защита персональных данных». Некоторые
поправки носят скорее технический характер. Так, например, сейчас
хранить и использовать персональные данные нужно, соблюдая требования
Трудового кодекса и других федеральных законов (ст. 87 ТК). Новое в этой
формулировке – «федеральные законы». Эта поправка введена в связи с
принятием закона о персональных данных.
Еще одна техническая правка такая. Передавать персональные
данные в пределах одной организации можно лишь в соответствии с
локальным нормативным актом, с которым сотрудники ознакомлены под
роспись. С октября это правило распространяется и на индивидуальных
предпринимателей (ст. 88 ТК).
Но есть и более серьезные нововведения. Так, с 6 октября 2006
года изменился порядок наказания лиц, виновных в нарушении порядка
получения, обработки и защиты персональных данных. До этой даты
нарушители несли дисциплинарную, административную, гражданско-правовую
или уголовную ответственность в соответствии с федеральными законами.
Сейчас же виновника можно привлечь к дисциплинарной и материальной
ответственности в порядке, установленном Трудовым кодексом и
федеральными законами. А к гражданско-правовой, административной и
уголовной ответственности, как и прежде, в порядке, установленном лишь
федеральными законами (ст. 90 ТК).
Как оформить защиту
Порядок хранения и использования персональных данных
работников фирмы определяет Положение о защите персональных данных. Это
внутренний (локальный) документ фирмы, его разрабатывает кадровая
служба.
Строгой формы этого документа не установлено. Но он должен
соответствовать требованиям, которые предъявляет к защите персональных
данных работника Трудовой кодекс и Закон «О персональных данных».
В положении должны быть указаны:
– цель и задачи фирмы в области защиты персональных данных;
– понятие и состав персональных данных;
– в каких структурных подразделениях и на каких носителях (бумажных,
электронных) накапливаются и хранятся эти данные;
– как происходит сбор персональных данных;
– как они обрабатываются и используются;
– кто (по должностям) в пределах фирмы имеет к ним доступ;
– как персональные данные защищаются от несанкционированного доступа;
– права работника в целях обеспечения защиты своих персональных данных;
– ответственность за разглашение конфиденциальной информации, связанной
с персональными данными работников.
Положение о защите персональных данных работника утверждает
руководитель фирмы или уполномоченное им лицо. А вводится в действие
этот документ приказом руководителя.
Оформим допуск
Перечень лиц, которые имеют доступ к персональным данным
работника, обычно оформляют в виде приложения к положению.
В первую очередь это сотрудники кадровой службы, поскольку
они собирают и формируют данные о работнике. Помимо кадровиков, доступ к
этим сведениям могут получить руководители структурных подразделений
(например, главный бухгалтер, начальники отделов). Однако они вправе
запрашивать не любые данные, а только те, которые необходимы для
выполнения конкретных трудовых функций (например, чтобы рассчитать
льготы по налогам, бухгалтерия получит не все сведения о работнике, а
только данные о количестве его иждивенцев).
Оформляют приложение так:
Работодатель обязан ознакомить работника с Положением о защите
персональных данных, а работник – расписаться в этом.
Факт ознакомления обычно оформляют распиской, которая
остается у работодателя. Образец смотрите выше.
Приложение № 1
к Положению о защите персональных данных
Москва
29 декабря 2006 года
Список
специально уполномоченных лиц
в получении персональных данных работников
№ |
Ф.И.О. |
Должность |
1. |
Воеводина Г.И. |
Начальник отдела персонала |
2. |
Кулешова И.А. |
Специалист по кадровому делопроизводству |
3. |
Федосеева Н.Н. |
Главный бухгалтер |
4. |
Решетов А.Ф. |
Начальник производственного отдела |
5. |
Николаев С.П. |
Юрисконсульт |
Генеральный директор Кустов
В.Н.
Расписка
Я, Соколов Алексей Петрович, ознакомлен с
Положением о защите персональных данных работника, права и обязанности в
области защиты персональных данных мне разъяснены.
08 августа
2006 г.
Соколов |