Трудовой кодекс РФ обязывает каждого работодателя разработать локальный акт, который бы регламентировал работу с персональными данными (ПД) в отдельно взятой компании. Такой локальный акт, как правило, называют «Положение о защите персональных данных».
В статье мы подробно разберем, из каких разделов может состоять этот локальный акт, и какие положения нужно обязательно в нем зафиксировать, чтобы обезопасить себя при возможной проверке. Если Вы не обрабатываете другие ПД, а только ПД работников, то локальный акт может называться «Положение о защите персональных данных работников». Его мы и попробуем составить.
Раздел «Общие положения»
В этом разделе можно указать:
- цель разработки положения;
- перечень законодательных актов, на основании которых создан документ;
- порядок введения в действие, порядок пересмотра этого ЛА.
Раздел «Состав персональных данных работника»
Перечисляем все данные работника, которые мы запрашиваем у него при заключении трудового договора, а также сведения, которые возникают в процессе трудовых отношений:
- фамилия, имя, отчество;
- дата рождения;
- место рождения;
- гражданство;
- знание иностранного языка;
- образование;
- специальность, профессия;
- состояние в браке;
- состав семьи;
- паспортные данные;
- адрес места жительства (по паспорту и фактический), дата;
- регистрации по указанному месту жительства, телефон;
- сведения о воинском учете;
- сведения о заработной плате;
- сведения о перечисленных налогах;
- сведения о социальных льготах;
- наличие судимостей;
- данные, содержащиеся в трудовой книжке работника, страховом свидетельстве государственного пенсионного страхования, свидетельстве о постановке на учет в налоговом органе; сведения о трудовом и общем стаже;
- место работы или учебы членов семьи и родственников.
Если в Вашей компании собирают сведения об изобретениях, о получении ученой степени, о гос.наградах, то этот список дополняем соответствующими пунктами. Сведения о состоянии здоровья, допуске к гос.тайне также относятся к ПД работника.
Далее, в этом же разделе можно перечислить документы (не только бумажные, но и электронные) и программы, которые содержат эту конфиденциальную информацию. Не буду приводить полный список, так как в него входят все кадровые документы и программы (смело переписывайте всю номенклатуру дел), а также бухгалтерские документы и программы, которые содержат либо личные сведения о работниках, либо сведения о зарплате.
Раздел «Принципы и условия обработки персональных данных»
В этот раздел перепишите из статей 5 и 6 ФЗ «О персональных данных» только те принципы и условия, которые применимы к Вашей организации. По максимуму конкретизируйте положения локального акта.
Раздел «Доступ к персональным данным»
Перечисляем должностных лиц (должности), которые имеют доступ к ПД работников. Описываем, какие именно данные они вправе видеть, зачем, как они получают к ним доступ. Перечисляем организации, которым мы передаем ПД работников в соответствии с федеральными законами.
Указываем организации или лиц, которым мы передаем ПД работников только с письменного согласия работника. Указываем случаи, когда мы можем передать ПД работников третьим лицам только при наличии нотариально заверенного согласия работника.
Кстати, в случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия. (УК РФ).
В следующей статье мы продолжим составлять Положение о защите персональных данных. Разберем подробно самые сложные разделы: «Защита ПД», «Права и обязанности субъектов ПД и оператора».
