Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами - физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите. Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников.
Персональные данные - это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними и до увольнения.
Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке.
С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.
Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.
Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными.
Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.
Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.
Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных .
Внимание! Законодательство устанавливает, что в состав Положения должно входить . Его необходимо запрашивать у работающего на предприятии человека каждый раз, когда происходит разглашение сведений третьим лицам, например, при составлении доверенности, справок и т. д.
При этом данное согласие сотрудник может отозвать в любой момент, подав на имя своего работодателя соответствующие заявление.
Какие данные сотрудников являются персональными
Нормы законодательства определяют, что включается в состав личных данных человека. Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.
Сюда включаются:
- Полные личные данные работника (Ф.И.О.).
- Сведения о месте и дате появления его на свет.
- Адрес фактический и по регистрации.
- Социальное, семейное, имущественное положение.
- Имеющиеся у работника образование, профессия.
- Сведения о получаемых сотрудником доходах и т. д.
Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.
Работодатель отвечает за сохранность таких конфиденциальных сведений, как персональные данные сотрудников, которые он получил в связи с трудовыми отношениями. И одной из основных обязанностей в этой сфере является разработка и утверждение локальных нормативных актов.
О том, что это за документы, какие правила они содержат и как работодателю организовать весь процесс - от составления текста до выполнения закрепленных предписаний, - пойдет речь в нашей статье.
Читайте также:
Новая ответственность за нарушения в персданных.
Условия и правила защиты персональных данных
Правила и условия защиты персональных данных регламентируются:
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ).
- Трудовым кодексом РФ.
- Иными федеральными законами.
- Подзаконными актами.
- Нормативными правовыми актами государственных органов, Банка России, органов местного самоуправления, принятыми ими на основании и во исполнение федеральных законов в пределах предоставленных полномочий.
- Локальными нормативными актами работодателя.
Закон № 152-ФЗ предусматривает, что у юридического лица должны быть:
- документы, определяющие политику оператора в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1);
- локальный нормативный акт по вопросам обработки персональных данных (п. 2 ч. 1 ст. 18.1);
- локальный нормативный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1);
- локальный нормативный акт по вопросам обучения работников, непосредственно осуществляющих обработку персональных данных (п. 6 ч. 1 ст. 18.1).
Обратите внимание!
Если международным договором РФ установлены иные правила, нежели предусмотренные Законом № 152-ФЗ, применяются правила международного договора.
ТК РФ обязывает работодателя иметь:
- документы, устанавливающие порядок обработки персональных данных работников, в том числе определяющие их права и обязанности в области персональных данных;
- локальный нормативный акт, утверждающий порядок передачи персональных данных в пределах одной организации или у одного индивидуального предпринимателя.
Требования к операторам, осуществляющим обработку персональных данных
Какие требования предъявляются к операторам, обрабатывающим персональные данные в информационных системах?
Из постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» можно сделать вывод, что помимо перечисленных выше мер оператор для обеспечения безопасности персональных данных должен также определить лицо, осуществляющее их обработку.
Кроме того, в зависимости от уровня защищенности персональных данных (а их всего четыре) оператор также должен:
- определить круг лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- создать структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возложить такую функцию на одно из имеющихся подразделений.
Словарь кадровика
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона № 152-ФЗ).
Существуют ли какие-то требования к составу локальных документов в случае обработки персональных данных сотрудников без использования автоматических систем?
В силу постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее - постановление Правительства № 687) оператор должен определить Правила обработки персональных данных, осуществляемой без использования средств автоматизации, и ознакомить с ними лиц, занимающихся такой обработкой. Также предусматривается необходимость закрепления:
- перечня лиц, осуществляющих обработку персональных данных без средств автоматизации;
- перечня мер, необходимых для обеспечения сохранности персональных данных при обработке без использования средств автоматизации;
- перечня лиц, ответственных за реализацию указанных мер.
Полагаем, что все эти три документа могут быть объединены в один локальный нормативный акт.
При этом, несмотря на формулировку «перечень лиц», целесообразно указывать должности согласно штатному расписанию, а не называть пофамильно конкретных сотрудников, осуществляющих обработку персональных данных.
Итак, нормативно закреплен достаточно обширный перечень локальных нормативных актов по защите персональных данных. Их конкретный набор зависит от того, какие персональные данные и каким способом обрабатываются в данной компании.
Кроме того, локальные документы по защите персональных данных можно разграничить по принципу, должны ли они быть доступны всем сотрудникам или только некоторым.
Положение об обеспечении конфиденциальности, обработке и передаче персональных данных работников организации должно быть доступно всем сотрудникам, так как речь идет об их персональных данных.
Дополнительно могут быть разработаны и утверждены положения об обеспечении безопасности персональных данных, об их обработке в информационных системах, о структурном подразделении по обеспечению безопасности персональных данных. Эти акты должны быть доступны только тем сотрудникам, которые обеспечивают безопасность персональных данных.
Иными словами, в первом случае речь идет об исполнении обязанностей работодателя по обеспечению конфиденциальности, обработке и передаче персональных данных, во втором - о защите персональных данных работодателем и лицами, которые получают к ним доступ.
Содержание локального акта, регулирующего вопросы обработки персональных данных
Локальный нормативный акт, регулирующий вопросы обработки персональных данных, может состоять из следующих разделов:
1. Общие положения.
Здесь следует раскрыть цели и задачи учета, хранения, обработки персональных данных.
2. Перечень персональных данных.
При составлении перечня необходимо принимать во внимание общедоступность персональных данных. Общедоступными они становятся в двух случаях.
Случай 1 . В силу прямого указания закона.
Так, согласно ст. 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» образовательное учреждение обязано размещать на официальном сайте сведения о руководителе образовательной организации, его заместителях, руководителях филиалов (при их наличии); о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы.
Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» обязывает медицинскую организацию информировать Словарь кадровика Оператор - государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее ее цели, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона № 152-ФЗ) граждан в доступной форме, в том числе с использованием Интернета, о мед работниках медицинских организаций, об уровне их образования и квалификации (ст. 79).
Федеральный закон от 03.12.2012 № 230-ФЗ «О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам» обязывает граждан, занимающих определенные государственные и муниципальные должности, предоставлять для размещения в Интернете на официальных сайтах федеральных госорганов, госорганов субъектов Российской Федерации, органов местного самоуправления, Банка России, государственных корпораций, Пенсионного фонда Российской Федерации, Фонда социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования, иных организаций, созданных Российской Федерацией на основании федеральных законов, сведения об источниках получения средств, за счет которых совершена сделка по приобретению земельного участка, другого объекта недвижимости, транспортного средства, ценных бумаг, акций (долей участия, паев в уставных (складочных) капиталах организаций), если сумма сделки превышает общий доход этого гражданина и его супруги (супруга) за три последних года, предшествовавших совершению сделки.
Случай 2. По решению самого субъекта персональных данных.
Если федеральным законом перечень общедоступных персональных данных не определен, субъект персональных данных может сделать их общедоступными сам, подписав соответствующее согласие.
Очевидно, что в трудовых отношениях существует необходимость рассмотрения в качестве общедоступных сведений о фамилии, имени, отчестве, должности работника. Такая общедоступность внутри компании требуется, например, для обеспечения коммуникаций, организации внутренних телефонных и почтовых справочников и др.
Также в данном разделе желательно указать, какие документы содержат персональные данные работников.
3. Порядок обработки персональных данных.
Здесь прописываются правила работы с персональными данными соискателей, работников, бывших сотрудников. Перечисляются органы и организации, в которые компетентные лица работодателя обязаны представлять персональные данные работников без их согласия.
Словарь кадровика
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ)
4. Перечень должностей и (или) лиц, имеющих доступ к персональным данным работников.
Перечисляются должности, замещение которых предполагает работу с персональными данными сотрудников.
5. Порядок доступа к персональным данным. Правила их передачи.
В этом разделе устанавливается порядок доступа к персональным данным. Прописывается регламент их передачи внутри организации и за ее пределы. Определяется процедура допуска должностных лиц работодателя к персональным данным.
6. Ответственность работодателя за соблюдение режима конфиденциальности персональных данных работников.
7. Ответственность должностных лиц работодателя за разглашение персональных данных.
8. Заключительные положения.
В локальном акте также должны быть предусмотрены организационные и технические меры защиты, аналогичные тем, что обеспечивают защиту коммерческой тайны в компании.
Параллельно ведомство дает разъяснения. В том числе, и о форме локального нормативного акта (далее ЛНА) в области обработки персональных данных. Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации.
Какие условия должны быть указаны в ЛНА?
1. Локальный нормативный акт должен быть утвержден генеральным директором, директором, советом директоров или другими уполномоченными лицами, определенными уставом компании.2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.
3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений.
Например, ЛНА могут определять:
- общие принципы обработки данных,
- порядок обработки данных на бумажных носителях,
- порядок обработки данных в информационных системах,
- порядок хранения персональных данных,
- порядок передачи данных,
- порядок обработки данных должностными лицами и проч.
- «персональные данные»,
- «оператор»,
- «обработка персональных данных»,
- «трансграничная передача персональных данных» и проч.
Что написать в ЛНА
Цели обработки персональных данных и содержаниеОни должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.
Примеры целей:
- использование персональных данных в информационных системах, с которыми работает компания,
- использование данных при составлении документов,
- передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
- сбор данных для принятия решения о приеме кандидата на работу и проч.
Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям.
Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email.
Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья). Доступ к персональным данным
В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным.
Внутренний доступ.
Может быть полным и ограниченным.
При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников.
При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки).
Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч. 1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).
Назначить можно прямым приказом работодателя или прописать должность в ЛНА.
Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.).
Ответственный сотрудник будет:
- контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;
- информировать сотрудников о новых нормах, локальных актах о персональных данных;
- принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.
В ЛНА нужно указать:
- наименование и местонахождение третьих лиц,
- цели передачи данных и объемы,
- перечень действий по обработке,
- способы обработки,
- требования к защите данных.
Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.).
Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз.
Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.).
Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений). Обеспечение конфиденциальности данных
В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных.
Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21):
- определение угроз безопасности,
- обнаружение фактов несанкционированного доступа,
- применение мер по обеспечению безопасной обработки данных,
- защита технических средств, на которых хранятся данные,
- установка антивирусов и проч.
Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч.
В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687). Копировать информацию из журнала нельзя.
В ЛНА нужно закрепить:
- порядок пропуска гостей на территорию предприятия (ведение журнала и проч.),
- данные, которые охрана запрашивает у гостей и вносит в журнал,
- цели сбора и обработки данных гостей,
- сроки обработки данных,
- перечень лиц (имена или должности), которые ведут журнал и отвечают за его сохранность и проч.
Локальный нормативный акт можно опубликовать на сайте компании, на внутреннем портале организации, наконец, на стендах в офисе. Главное — донести информацию до реальных и потенциальных субъектов персональных данных (сотрудников, партнеров и проч.).
Образовательная организация должна обеспечивать защиту сведений, составляющих государственную или иную охраняемую законом тайну при реализации образовательных программ с применением электронного обучения либо (ст. 16 № 273-ФЗ). Здесь возникает вопрос использования таких сведений, как персональные данные в образовательном учреждении.
В статье 28 закона «Об образовании» не указана обязанность образовательной организации по обеспечению . Однако хотелось бы подчеркнуть, что существует отдельный отраслевой закон «О персональных данных» № 152-ФЗ, который определяет в качестве оператора любое юридическое лицо, которое осуществляет обработку персональных данных. Данное определение настолько широкое, что под него подпадает и деятельность образовательной организации.
Особенностью закона № 152-ФЗ является то, что он, возлагая ответственность по надлежащей обработке, при этом оставляет полную свободу при разработке локальной нормативной базы. Таким образом, образовательная организация свободна в перечне данных. Рассмотрим их примерный список.
Локальный акт образовательной организации «Положение об обработке персональных данных»
Основной локальный акт по защите персональных данных в образовательной организации называется «Положение об обработке персональных данных». Необходимо учитывать основную ошибку, которую часто допускают при разработке такого важного документа - не учитываются все субъекты, данные которых обрабатываются.
Согласно федеральному закону № 152, обрабатывается информация разных субъектов (работников, обучающихся, родителей). Можно издать целых два таких положения: в отношении работников и в отношении обучающихся/воспитанников. Но возможно обойтись одним документом, это решение сугубо индивидуальное.
При разработке этого локального акта в образовательной организации необходимо учитывать следующие основные вопросы:
Какие документы регламентируют работу с персональными данными? Необходимо перечислить все документы.
Какие персональные данные обрабатываются и в каких документах содержатся?
Каковы условия получения и (что немаловажно) хранения персональных данных? Существуют требования законодательства к условиям их хранения.
Какая ответственность установлена за нарушение законодательства? Укажите ответственность по защите персональных данных именно в вашей образовательной организации.
Как осуществляется доступ работников к персональным данным?
Как осуществляется доступ лиц, не являющихся работниками (это родители, медицинские работники, представители государственных и муниципальных органов, учредители)?
Как выше уже было сказано, локальный акт образовательной организации может быть единым, в котором урегулированы все вопросы. В развитие его могут быть приняты типовые формы обработка персональных данных в школе, такие как «Форма согласия», например.
Какие еще могут быть локальные акты образовательной организации по защите персональных данных?
- Отдельным локальным актом можно регламентировать порядок хранения персональных данных. «Инструкция по обеспечению безопасности (»это достаточно сложный с технической точки зрения документ, в разработке которого необходима помощь технических сотрудников.
- «Требования к педагогическим работникам, выполняющим функции классного руководителя».
- Если классный руководитель работает с электронными журналами, это должно обязательно находить отражение в его должностной инструкции, так как именно он является ответственным за внесение данных в электронный журнал и учащихся.
- «Инструкция по работе с персональными данными в автоматизированной информационной системе ”Электронный дневник”» может быть отдельной, если нужно подробно прописать вопросы, которые регулируют использование этих данных именно в системе электронного дневника: перечень действий, ответственность и пр.
- «Требования к помещениям по работе с персональными данными» и т.д.
Помимо локальных актов в образовательной организации могут существовать другие подписанные работниками документы по защите:
- утвержденные перечни лиц, имеющие доступ к тем или иным;
- обязательства о неразглашении;
- согласие на обработку данных.
Если говорить о документе «Согласие на обработку персональных данных», то оно может даваться по разным поводам, в зависимости от целей обработки таких сведений. Главное - это соблюсти определенную форму, обусловленную законодательством.
Также к документам, касающихся защиты персональных данных в образовательной организации, могут быть отнесены уведомления, например, о получении персональных данных от третьих лиц, запросы и заявления.
Необходимо учитывать, что каждая образовательная организация является уникальной, в том числе в части использования, обработки и защиты персональных данных в школе. Возможно, образовательная организация вообще не обрабатывает персональные данные автоматизированным способом, а только осуществляет обработку без использования средств автоматизации. Соответственно, перечень локальных актов будет совершенно другим.
В соответствии с ч. 1 ст. 5 ТК РФ локальные нормативные акты, содержащие нормы трудового права, регулируют трудовые и иные непосредственно связанные с ними отношения. Как правило, локальные нормы устанавливаются как результат соглашения участников социально-трудовых отношений. Именно в этом и состоит специфика правового регулирования отношений наемного труда на уровне организации Лебедев В.М. Лекции по трудовому праву России. - Томск, 2001..
В любой организации существует определенная совокупность процедур и правил использования информации. Она отражает отдельные этапы получения, хранения, комбинирования, передачи и иного использования информации. Соблюдение указанного алгоритма обработки информации гарантирует информационное обеспечение достижения поставленных работодателем целей. Часть этого технологического процесса составляет обработка конфиденциальной информации, в состав которой входят персональные данные работника. Отношения по соблюдению порядка информационного оборота регламентируются в нормативных документах - локальных актах организации. Эти акты отражают особенности организации, связанные с использованием информации. В настоящее время производственное и технологическое развитие организации во многом зависит от уровня организованности локальной нормоустановительной деятельности Веселова Е.Р. Локальное нормотворчество в организации // Трудовое право. 2004. № 9.. «В дальнейшем, с развитием производственных отношений, усложнением технологических процессов, становлением гражданского общества в России роль локальных (местных) нормативно-правовых актов в сфере регулирования трудовых и тесно примыкающих к ним отношений, входящих в предмет трудового права, будет возрастать. Это объективный процесс, который вызван реальными потребностями жизнедеятельности каждой организации» Ведяшкин С.В. Локальные нормативные правовые акты и их роль в установлении внутреннего трудового распорядка организации. - - Томск, 2001..
Делопроизводство документов конфиденциального характера, в том числе и содержащих персональные данные работника, регламентируется не только текстовыми документами, но и схематическими, графическими актами. В качестве примеров можно назвать движение документации по личному составу в организации, схемы передачи кадровой документации в иные подразделения, структуры делопроизводственных подразделений организации.
Классификация локальных нормативных правовых актов, содержащих нормы об охране персональных данных работника, позволяет оценить их значение и роль в обеспечении права работников на неприкосновенность частной жизни.
Все внутренние (локальные) нормативные правовые акты могут быть общего и специального характера. Критерием в данном случае является круг лиц, на которых распространяется действие акта. Локальные нормативные правовые акты общего характера воздействуют на поведение всех или большинства работников организации, а под действие специальных актов попадают только определенные категории должностных лиц. К документам первого вида относятся коллективный договор, правила внутреннего трудового распорядка, положение о подразделении организации. Специальными локальными правовыми актами являются инструкция по делопроизводству, положение о защите информации, положение о персонале организации, положения о функциональных органах, должностные инструкции.
Одним из локальных нормативных правовых актов, в котором может устанавливаться порядок хранения и использования персональных данных, являются правила внутреннего трудового распорядка организации. Основываясь на требованиях ТК РФ, в разделе «Права и обязанности работников» уместно перечислить права и обязанности работников в этой области. Однако на практике такие примеры встречаются редко. В положения об отделениях и службах организации нормы о защите персональных данных работников обычно включаются разделы о целях и задачах деятельности функционального органа организации.
Существенное количество норм о защите персональных данных работника закреплено в локальных правовых актах организации, регламентирующих информационный оборот, В положениях, инструкциях о делопроизводстве, о порядке заключения договоров, о защите информации, о режиме конфиденциальности и др. регламентируются стадии получения (создания), передачи, хранения и уничтожения сведений. Эти акты регулируют отношения о передаче документированной информации внутри организации и за ее пределами.
Пункт 6 ст. 86 ТК РФ запрещает работодателю при принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Указанное ограничение касается создания персональных данных в электронном виде. Это требование связано с тем, что новые методы обработки информации, повышая уровень информированности общества и коэффициент полезности использования его информационных ресурсов, одновременно увеличивают степень уязвимости информации.
Ряд документов организации регулирует отношения исключительно в сфере использования информационных технологий. Как правило, в каждой организации утверждается самостоятельная, учитывающая ее специфику, делопроизводственная инструкция о работе с документами, содержащими сведения конфиденциального характера. На уровне организации принимаются документы о порядке доступа к локальной информационной сети, о защите критически важной информации, об использовании электронной почты, о правилах доступа к ресурсам Интернета и др.
Пункт 8 ст. 86 ТК РФ обязывает работодателя и его представителей при обработке персональных данных знакомить под расписку работников и их представителей с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях. Пункт 10 ст. 86 ТК РФ обязывает работодателей, работников и их представителей к совместной разработке мер защиты персональных данных. Часть 5 ст. 88 ТК РФ требует осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку. Эти законодательные положения в литературе трактуются по-разному.
Регламентация порядка передачи персональных данных должна быть закреплена в правилах внутреннего трудового распорядка, в положении о персонале, и работодатель должен нести соответствующую обязанность. Что касается разработки специализированного локального акта, то Л.В. Тихомирова считает, что ТК РФ закрепил возможность, а не обязанность работодателя по принятию соответствующего отдельного нормативного акта Тихомирова Л.В. Ibid..
Охрана персональных данных работника осуществляется не только в локальных нормативных актах. Значительная часть отношений по защите персональных данных регулируется в договорном порядке. Организации заключают договоры и соглашения о передаче персональных данных на законных основаниях третьим лицам (в отделения Пенсионного фонда РФ, военные комиссариаты, налоговые инспекции и др.), о защите передаваемой информации средствами криптографии и шифрования и др. Отдельные условия о защите конфиденциальной информации находят отражение в трудовых договорах.
