10 Ошибок, которые не стоит допускать при оформлении документов, связанных с персональными данными

«Кадровая служба и управление персоналом предприятия», 2012, N 3

10 ОШИБОК, КОТОРЫЕ НЕ СТОИТ ДОПУСКАТЬ ПРИ ОФОРМЛЕНИИ ДОКУМЕНТОВ, СВЯЗАННЫХ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

По опросу знакомых и клиентов-работодателей, никто особо не «напрягается» из-за новых требований Закона о персональных данных <1>. Действительно, «поймать» организацию за нарушение правил работы с персональными данными проверяющий может практически на любом аспекте, однако ответственность довольно невысока. Да и когда, в самом деле, Роскомнадзор обратит внимание на среднестатистическую компанию? Ведь в плане проверок, размещенном на сайте ведомства, обычно числятся крупные организации. Вместе с тем суммы штрафов расти будут, и безобидные на первый взгляд нарушения могут закончиться для работодателя весьма плачевно.

———————————

<1> Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).

Штрафы вырастут в цене

Практика показывает, что после недавнего ужесточения норм Закона о защите персональных данных проверяющие особенно активизировались, нещадно штрафуя нарушителей. Как отмечает Роскомнадзор в отчете за 2010 г. (http://www. rsoc. ru/docs/Otchet_2010.pdf), суды привлекли к административной ответственности в виде штрафа операторов персональных данных (все работодатели ими являются) на общую сумму 4480 тыс. руб. Для сравнения: в 2009 г. общая сумма наложенных штрафов составила в 60 раз меньше — всего 75 тыс. руб.!

В 2011 г. тенденция по увеличению суммы наложенных штрафов сохранилась, хотя статистика еще недоступна. Это говорит о том, что операторы персональных данных допускают многочисленные нарушения. И пусть максимальная сумма штрафа пока мало кого пугает. Напомним, что для организаций по ст. 13.11 КоАП РФ сейчас она составляет от 5000 до 10 000 руб., должностного лица — от 500 до 1000 руб., гражданина — 300 — 500 руб., но планы по значительному повышению штрафов за нарушение порядка обработки персональных данных, видимо, скоро претворят в жизнь.

Разговоры об ужесточении ответственности начались в прошлом году, сразу после упомянутых поправок, а недавно в прессе появилась информация, что Правительство РФ подготовило законопроект, увеличивающий наказание за разглашение персональных данных в разы. Работодатель-нарушитель может быть оштрафован от 200 тыс. до 500 тыс. руб., предприниматель без образования юридического лица — от 50 тыс. до 100 тыс. руб., должностное лицо — от 15 тыс. до 50 тыс., а гражданин — от 10 тыс. до 15 тыс. руб.

Если же нарушение происходит не в первый раз, то повторное наказание будет еще жестче. Организация может лишиться от 500 тыс. до 1 млн руб., предприниматель — от 100 тыс. до 300 тыс., должностное лицо — от 50 тыс. до 100 тыс. руб., а гражданин — от 15 тыс. до 30 тыс. руб. Причем деятельность юридического лица или предпринимателя может быть приостановлена на срок до 90 суток.

Эксперты отмечают, что если законопроект будет принят, то штрафы «обрушатся» на головы работодателей как снег на голову. А учитывая довольно непроработанные требования Закона, привлекать к административной ответственности операторов персональных данных можно будет поголовно, что, кстати, проверяющие из Роскомнадзора России делают и будут делать.

Ошибки работодателей

Сотрудники контролирующего ведомства уделяют большое внимание документам, которые закрепляют политику в отношении персональных данных работников, вопросы их обработки и защиты. С одной стороны, в нормативных актах установлены определенные требования к оформлению и содержанию этих документов, с другой, эти требования «размыты» по многочисленным нормативным актам, поэтому работодателям бывает довольно сложно в них сориентироваться.

Большинство замечаний сотрудников Роскомнадзора <2> относится к тому, что необходимые документы, касающиеся персональных данных на предприятиях, часто носят формальный характер, повторяя содержание статей ТК РФ и Закона о персональных данных. В разъяснениях контролеры выделяют типичные ошибки, которые допускают работодатели при оформлении кадровых документов, регламентирующих обработку и защиту персональных данных. Чтобы избежать ответственности или хотя бы свести ее к минимуму, мы проанализировали замечания Роскомнадзора и предлагаем вам список из 10 ошибок, которые не стоит делать при составлении документов для защиты персональных данных ваших работников. А для наглядности приведем правильные формулировки и образцы заполнения необходимых на каждом предприятии документов.

———————————

<2> Официальный сайт Роскомнадзора России www. rsoc. ru.

1. Не указываются конкретные нормы закона, на основании которых работодатель ведет обработку персональных данных. Обратите внимание: Роскомнадзор говорит о том, что в документах следует четко перечислить соответствующие пункты и статьи конкретных нормативных актов, регламентирующих осуществляемый вид деятельности компании и касающихся обработки персональных данных. Поэтому формальной отсылкой к ТК РФ или Закону о персональных данных явно не обойтись. Пример указания конкретной нормы Закона приведем в согласии соискателя на получение работодателем персональных данных от третьих лиц (см. пример 1).

Пример 1. Согласие на получение персональных данных от третьих лиц.

ЗАО «Мир увлечений», расположенное

по адресу: г. Москва, ул. Академика

Королева, д. 9

Загоушинского Александра Вениаминовича,

зарегистрированного по адресу:

г. Москва, Долгоруковская улица, д. 16,

кв. 21

паспорт серии 45 09 N 654321,

выдан п/с N 2 ОВД Тверского района

УВД ЦАО г. Москвы 29.04.2004

Заявление

Я, Загоушинский Александр Вениаминович, в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» даю согласие на получение моих персональных данных о предыдущих местах работы, периодах трудовой деятельности, деловых качествах от третьих лиц.

Настоящее согласие действует в течение месяца (со дня его подписания по 30.03.2012) и в любой момент может быть отозвано в письменной форме.

01.03.2012 Загоушинский А. В. Загоушинский

2. Под целью обработки персональных данных работодатели ошибочно указывают саму обработку персональных данных или действия, совершаемые с персональными данными (сбор, хранение, использование и другие). Однако целью это никак назвать нельзя. Здесь следует перечислить, для чего вы собираете и обрабатываете указанную информацию.

Так, работодателю нужно указать, скажем, следующее: «Обработка персональных данных осуществляется для реализации трудовых взаимоотношений с работниками». Возможно, придется указать и другие основания, перечисленные в учредительных документах — уставе, учредительном договоре, положении: «для осуществления видов деятельности, перечисленных в уставе, а именно: …». Ну и, безусловно, не стоит забывать о фактически осуществляемой оператором деятельности.

Указать цель обработки персональных данных потребуется в согласии работника на обработку и передачу персональных данных третьим лицом (см. пример 2).

Пример 2. Согласие на передачу и обработку персональных данных третьим лицом.

ЗАО «Мир увлечений», расположенное

по адресу: г. Москва, ул. Академика

Королева, д. 9

Загоушинского Александра Вениаминовича,

зарегистрированного по адресу:

г. Москва, Долгоруковская улица, д. 16,

кв. 21

паспорт серии 45 09 N 654321,

выдан п/с N 2 ОВД Тверского района

УВД ЦАО г. Москвы 29.04.2004

Заявление

Даю свое согласие на передачу следующих моих персональных данных:

1) фамилия, имя, отчество;

2) пол;

3) год рождения;

4) данные об изображении лица;

в целях исполнения заключенного между нами трудового договора в частное охранное предприятие «Железная защита» (г. Москва, ул. Александра Солженицына, д. 30) для любой их обработки в рамках договора об оказании охранных услуг от 14.02.2012 N 16.

Настоящее согласие действует с 05.03.2012 в течение всего срока действия трудового договора. В случае неправомерного использования предоставленных данных, а также по иным причинам согласие может быть отозвано в письменном виде.

05.03.2012 Загоушинский А. В. Загоушинский

Обратите внимание: помимо данных работника в согласии должны быть указаны наименование и адрес работодателя, цель передачи персональных данных, перечень информации, на передачу которой работник дает согласие, и срок, в течение которого оно действует, а также порядок его отзыва.

3. Категории персональных данных указываются не полностью, часто вместо закрытого перечня работодатели пишут фразы «и др.», «и т. п.», «другая информация». Делать это ни в коем случае нельзя. Необходимо перечислять все обрабатываемые категории персональных данных. Перечень должен быть полным, поэтому, написав в положении о защите персональных данных работника, что к персональным данным относятся «анкетные данные», вы совершите ошибку.

Перечислить стандартные категории (Ф. И. О., дату и место рождения, адрес, образование и пр.) компании обычно не забывают. Хотя некоторые данные, например паспортные или данные из свидетельства о рождении, ИНН, данные СНИЛС, сведения о воинском учете, номер телефона, банковские реквизиты работника, работодатели порой не указывают, считая, что «они нужны по закону» и перечислять их нет необходимости. А что говорить об особенных данных, скажем, росте, весе, группе крови или данных об изображении лица!

Надо отметить, что не стоит в кадровых документах перечислять обобщенные категории персональных данных (биометрические или специальные персональные данные), надо их подробно перечислить. Также следует иметь в виду, что под «категориями персональных данных» понимается «информация, относящаяся к физическому лицу» (ст. 3 Закона о персональных данных), поэтому документы, принадлежащие ему, не могут являться категориями персональных данных. Так что вместо «фотография» следует написать «данные об изображении лица», а вместо «паспорт» — «паспортные данные». Пример перечисления конкретных персональных данных можно посмотреть в согласии соискателя на получение работодателем персональных данных от третьих лиц (см. пример 1) и согласии на обработку и передачу персональных данных третьим лицом (см. пример 2).

Добавим, что, несмотря на наличие, например, письменного соглашения о получении работодателем персональных данных о работнике от третьих лиц, в Положении о защите персональных данных работника следует указать на возможность и необходимость запроса подобной информации у третьих лиц. Так, в Положении можно сделать следующую пометку: «Работодатель имеет право проверять достоверность сведений, предоставленных работником. При необходимости затребования персональных данных работника у третьих лиц работодатель должен уведомить об этом работника и получить от него письменное согласие по установленной форме».

4. Указываются не все категории субъектов, чьи персональные данные обрабатываются. По аналогии с категориями персональных данных пишутся фразы типа «и т. д.», «и пр.». Здесь следует четко уяснить, что «категории субъектов» — это определенные группы граждан, у которых обрабатываются одинаковые персональные данные. Скажем, личные дела всех сотрудников содержат одинаковый перечень данных и документов, поэтому у работников обрабатывается равное количество персональных данных, и если вы обрабатываете только данные своих работников, то будет достаточно указать лишь их.

Вместе с тем проверяющие отмечают, что при перечислении категорий физических лиц следует указывать и виды отношений с ними (в т. ч. трудовые, гражданско-правовые). Иными словами, если в вашей организации к отдельным работам привлекаются физические лица по гражданско-правовым договорам, то их тоже придется указывать. Так, нужно будет перечислить и тех и других. Например, в Положении о защите персональных данных сотрудников можно сделать следующую пометку: «Настоящее Положение определяет порядок обработки персональных данных лиц, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с ООО «Энигма» (далее по тексту — Общество)».

5. Перечисляются лишь общие характеристики используемых оператором способов обработки персональных данных, а также порядок передачи информации. Отметим, что общий перечень действий содержится в п. 3 ст. 3 Закона о персональных данных, однако работодателю следует выбрать лишь те из них, которые он фактически совершает, например сбор, систематизацию, хранение, уточнение, использование и передачу.

Кроме того, должны быть перечислены конкретные способы обработки с указанием порядка передачи. Скажем, информация передается по внутренней сети юридического лица и по сети Интернет. Здесь нелишним будет упомянуть два Постановления Правительства — от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее — Постановление N 687) и от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В документах вы найдете много волнующих вопросов, например, о том, что относится к обработке в информационных системах. В частности, полезно будет знать, что информация, хранящаяся на компьютере, но для использования распечатываемая на бумаге, относится к данным, осуществляемым без использования автоматизации (п. 1 Положения, утвержденного Постановлением N 687).

При составлении Положения о защите персональных данных работников и других локальных документов вы можете использовать отдельные формулировки из названных Постановлений.

6. Не указываются конкретные меры, которые работодатель обязуется осуществлять при обработке персональных данных и для обеспечения их безопасности. К перечислению способов защиты информации проверяющие относятся очень серьезно и требуют указывать конкретные технические и организационные меры. Чтобы не запутаться, поясним: технические меры направлены на устранение самой возможности утечки информации и ее несанкционированного использования. Например, защита от несанкционированного физического доступа в помещения, где хранится информационная база, защита паролями и картами доступа компьютеров, где установлены и хранятся персональные данные, использование системы паролей в сети Интернет.

В свою очередь, организационные меры направлены на то, чтобы все заинтересованные лица и проверяющие органы были в курсе, как именно и в каких целях происходят защита и обработка персональных данных. Поэтому к организационным мерам относится принятие локальных нормативных актов и иных организационно-распорядительных документов организации (внутренних документов — приказов, положений, регламентов, перечней, сведений).

Средства обеспечения безопасности более конкретны. Это могут быть оборудование помещений охранной системой, наличие видеонаблюдения на этаже и в кабинете, пропускная система и карты доступа.

Проверяющие акцентируют внимание на том, что работодатель должен указать лицо, ответственное за общую организацию защиты персональных данных, например начальника отдела кадров. Для этого необходимо издать приказ (см. пример 3).

Пример 3. Образец приказа о назначении ответственного лица за организацию защиты персональных данных.

Закрытое акционерное общество «Мир увлечений»

(ЗАО «Мир увлечений»)

ПРИКАЗ

05.03.2012 N 17/к

г. Москва

О назначении ответственного лица

за организацию защиты персональных данных

В соответствии с п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»

ПРИКАЗЫВАЮ:

1. Назначить начальника отдела кадров Авдотьеву И. С. ответственной за организацию защиты персональных данных работников.

2. В связи с новым назначением начальнику отдела кадров Авдотьевой И. С. внести соответствующие изменения в должностную инструкцию начальника отдела кадров, а также Положение о защите персональных данных работников до 12 марта 2012 г.

3. Установить ежемесячную доплату Авдотьевой И. С. в размере 5000 руб. к должностному окладу в связи с исполнением дополнительной обязанности по организации защиты персональных данных работников.

4. Начальнику канцелярии Перевертовой К. С. довести настоящий приказ до сведения главного бухгалтера Свободомыслова А. Н.; начальника отдела кадров Авдотьевой И. С. под личную подпись.

Генеральный директор Улиновский Н. Э. Улиновский

05.03.2012

С приказом ознакомлены: Авдотьева И. С. Авдотьева ———-

05.03.2012

Свободомыслов А. Н. Свободомыслов ———-

Обязанности ответственного сотрудника можно прописать, например, в Положении о защите персональных данных (см. Пример 4).

Пример 4. Выдержка из Положения о защите персональных данных работников.

4. Начальник отдела кадров:

— осуществляет общий контроль за соблюдением работниками мер по защите персональных данных;

— обеспечивает ознакомление сотрудников под личную подпись с локальными нормативными актами, содержащими нормы о защите персональных данных, в частности с настоящим Положением о защите персональных данных;

— истребует с работников письменное обязательство о соблюдении конфиденциальности персональных данных.

7. Не указываются меры ответственности за нарушение норм, регулирующих получение, обработку и защиту персональных данных работников в локальных документах. Начнем с того, что в трудовом договоре должен быть пункт, устанавливающий ответственность работника за разглашение персональных данных (п. 8 ст. 86 ТК РФ).

Если же мы говорим о лицах, ответственных за работу с персональными данными, то они должны быть предупреждены под личную подпись об ответственности за нарушение порядка обработки и защиты персональных данных. Это можно сделать либо в должностной инструкции, либо в Положении о защите персональных данных (см. пример 5).

Пример 5. Выдержка из Положения о защите персональных данных работников.

6.1. Разглашение персональных данных работника Общества, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные работника; иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания — выговора, увольнения.

6.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный поступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 Трудового кодекса РФ.

6.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. 188 Уголовного кодекса РФ.

8. Отсутствие в договорах на обработку персональных данных третьим лицом положения об обеспечении конфиденциальности и безопасности персональных данных при их обработке. К третьим лицам здесь могут относиться: страховые, консалтинговые, охранные, аутсорсинговые компании, кредитные учреждения (банки), рекламные агентства и пр. Некоторые работодатели заключают отдельное соглашение о неразглашении персональной информации.

Для примера дадим формулировку пункта в Положении о защите персональных данных (см. пример 6).

Пример 6. Выдержка из Положения о защите персональных данных работников.

4.2. Если Работодателю оказывают услуги юридические и/или физические лица на основании заключенных гражданско-правовых договоров и в силу этих договоров они должны иметь доступ к персональным данным сотрудников Работодателя, то соответствующие данные предоставляются только после подписания с ними соглашения об их неразглашении.

9. Даты начала совершения действий с персональньми данными и прекращения обработки не указываются или указываются размыто. Как отмечают проверяющие из Роскомнадзора, писать следует фактические даты и конкретные основания. Каким образом? Если мы говорим об обработке данных только работников, то, как правило, за дату начала обработки берут дату регистрации юридического лица или дату, которая указана в свидетельстве о государственной регистрации юридического лица, а также дату заключения трудового договора. За дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных, как правило, берут «ликвидацию юридического лица» (см. примеры 1 и 2).

В качестве варианта предложенной в примере 2 формулировки можно указать: «Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме».

10. Отсутствует список лиц, имеющих доступ к персональньм данным, обрабатываемым в информационной системе. Такой список следует утвердить приказом руководителя компании (см. пример 7). Сделать это необходимо еще и потому, чтобы понять, каким образом будут осуществляться доступ и передача персональных данных. Ведь очень важно, чтобы во время передачи рассматриваемой информации не произошла ее утечка или неправомерное использование. Порядок следует предусмотреть в Положении о защите персональных данных.

Например, можно предложить следующую формулировку: «Отдел кадров вправе передавать персональные данные сотрудников в бухгалтерию, службу безопасности и иные структурные подразделения только в случае необходимости исполнения работниками соответствующих подразделений трудовых обязанностей.

Любая передача персональных данных между структурными подразделениями возможна только между сотрудниками, имеющими доступ к персональным данным. При передаче персональных данных начальник отдела кадров предупреждает лиц, получающих доступ к персональным данным, о том, что эти данные могут быть использованы только в тех целях, для которых они сообщены.

Начальник отдела кадров обязан взять письменное обязательство о неразглашении и предупреждении об ответственности с лиц, получающих доступ к персональным данным».

Кроме того, некоторые работодатели прописывают в Положении пункт о том, кто имеет право доступа ко всем персональным данным, например генеральный директор, учредители или совет директоров.

Пример 7. Образец приказа об утверждении списка лиц, имеющих доступ к персональным данным работников.

Закрытое акционерное общество «Мир увлечений»

(ЗАО «Мир увлечений»)

ПРИКАЗ

05.03.2012 N 18/к

г. Москва

Об установлении списка лиц, имеющих

доступ к персональным данным работников

В соответствии со ст. 88 Трудового кодекса РФ и п. 3.2 Положения о защите персональных данных работников ЗАО «Мир увлечений»

ПРИКАЗЫВАЮ:

1. Установить следующий перечень сотрудников Общества, имеющих доступ к персональным данным работников:

— генеральный директор Улиновский Н. Э.;

— заместитель генерального директора Прушенинников К. С.;

— начальник отдела кадров Авдотьева И. С.;

— главный бухгалтер Свободомыслов А. Н.;

— начальник службы экономической безопасности Прутьев П. Е.;

— начальник отдела продаж Федоскин Н. З.

2. Возложить контроль за исполнением приказа на начальника отдела кадров Авдотьеву И. С.

Генеральный директор Улиновский Н. Э. Улиновский

С приказом ознакомлены:

заместитель генерального 05.03.2012

директора Прушенинников К. С. Прушенинников ———-

05.03.2012

начальник отдела кадров Авдотьева И. С. Авдотьева ———-

05.03.2012

главный бухгалтер Свободомыслов А. Н. Свободомыслов ———-

начальник службы экономической 05.03.2012

безопасности Прутьев П. Е. Прутьев ———-

05.03.2012

начальник отдела продаж Федоскин Н. З. Федоскин ———-

Как правило, доступ к персональным данным имеют сотрудники работодателя, которым необходима эта информация в связи с исполнением ими трудовых обязанностей. В Положении о персональных данных работников можно предусмотреть порядок действий в случае, если лицо в списке не поименовано, но срочно требуется доступ к данным. Сформулировать пункт об этом можно следующим образом: «Доступ к персональным данным может быть предоставлен иному сотруднику Работодателя, должность которого не поименована в списке лиц, имеющих доступ к персональным данным работника, если этого требует производственная необходимость и выполняемая им трудовая функция. Для этого сотруднику следует составить докладную записку на имя генерального директора с визой непосредственного руководителя».

Это наиболее типичные ошибки работодателей, хотя Роскомнадзор России отмечает и иные. Например, отсутствие на предприятии листа ознакомления сотрудников под личную подпись с Положением о защите персональных данных работника, а также документа, подтверждающего факт информирования лиц о том, что они осуществляют обработку персональных данных без использования средств информатизации. Подобный документ должен содержать категории персональных данных, а также особенности и правила осуществления обработки.

Как видите, к оформлению перечисленных документов стоит подойти со всей серьезностью. И самое главное — соблюдать их требования, поскольку любое нарушение может привести к жалобе недовольного работника в Роскомнадзор. И тогда, несмотря на то что компания маленькая, проверяющие нагрянут в нее с внеплановой проверкой.

---

Источник: hr-portal.ru