Как должно выглядеть положение о персональных данных?

159

Вопрос

Что необходимо добавить/изменить в положение о персональных данных с учетом внесенных в 2015 году изменений в Федеральный закон 149-ФЗ от 27.07.2006 года? Спасибо

Ответ

Ответ на вопрос:

Следует отметить, что в большей степени, соответствующий закон касается отношений в сфере обмена и распространения информации в электронном виде. Применяя закон к трудовым отношениям, целесообразно внести в Положение о персональных данных, ограничение на хранение персональной информации о работниках за пределами РФ.

Более подробную информацию по этому вопросу Вы сможете найти в приложение к ответу ниже.

Подробности в материалах Системы Кадры:


Читайте подробнее о защите персональных данных в организации по этой ссылке.


Пресса: Журнал «Трудовые споры» № 2, Февраль 2016

Хранение персональных данных в России. Какие особенности есть для сведений о работниках

  1. Считается ли архив с личными делами работников базой данных
  2. Кто вправе не сообщать в Роскомнадзор об обработке персональных данных
  3. Как составить согласие работника на обработку данных при переходе на аутсорсинг

С осени 2015 года Базы данных с персональной информацией о россиянах нужно хранить в России. правда, в законе есть норма, которая допускает исключение для сведений о работниках. Но сформулирована она неоднозначно. Как ее будут применять Роскомнадзор и трактовать суды — пока неясно.

С 1 сентября 2015 года вступили в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) и некоторые другие законы. Изменения касаются локализации баз персональных данных в России (Федеральный закон от 21.07.2014 № 242-ФЗ; далее — Закон № 242-ФЗ). Главное требование — обрабатывать персональные данные граждан России на территории страны. Контролировать это правило будет Роскомнадзор. Именно в это ведомство нужно отправить уведомление о начале обработки персональных данных. Не забудьте указать адрес нахождения базы данных и наименование системы, например, 1С. Если сведения изменятся, то отправьте информационное письмо. Бланк и формулировку придумывать не придется. Нужные формы уже утверждены.

И, конечно, контролируйте сохранность сведений о работниках. Ограничьте доступ к персональным данным и определите, кто имеет право работать с трудовыми книжками, личными делами и зарплатными ведомостями.

Хранение персональных данных

Что такое локализация баз данных и на кого она распространяется?

Суть локализации базы данных в том, чтобы хранить информацию с персональными данными граждан России на территории страны. Причем не важно, собрал работодатель сведения на бумажных носителях или через интернет. Это следует из ч. 5 ст. 18 Закона № 152-ФЗ, п. 7 ч. 1 ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ (далее — Закон № 149-ФЗ).

Пример базы данных с персональными данными — это таблица с информацией о клиентах, контактных лицах клиентов компании. Работа с такой базой предполагает:
— хранение,
— накопление,
— уточнение,
— систематизацию и др. виды обработки.

Правило о локализации баз данных в первую очередь затрагивает интересы организаций, которые входят в международные группы компаний, и филиалы (представительства) иностранных фирм. Но оно также может коснуться российских компаний, например, использующих услуги провайдеров облачных сервисов; часто серверные мощности, предоставляемые такими провайдерами, находятся за границей.

Можно ли хранить базу данных на сотрудников за границей?


Все о Обработке персональных данных при приеме на работу вы узнаете, если прочитаете материал по ссылке.


До того, как появятся однозначные официальные разъяснения и судебная практика по данному виду споров, рекомендуется хранить базы данных сотрудников на территории России.

Со временем работодатель сформирует базы данных:
— на персонал (работающий, уволенный);
— контрагентов (ФИО директоров, главных бухгалтеров и других ключевых фигур);
— клиентов (с адресами доставки и другими данными).

Формально персональные данные работников работодатель вправе обрабатывать не только на территории России, но и за границей. Ведь ч. 5 ст. 18 Закона № 152-ФЗ не запрещает трансграничную передачу данных. Кроме того, есть исключения из правила о локализации баз данных. Например, когда работодатель обрабатывает персональные данные для достижения целей, предусмотренных законом. Или если работодатель выполняет функции, полномочия и обязанности, которые возложены на него законодательством.

Работодатель обязан собрать и обработать данные о работнике при заключении трудового договора (ст.ст. 57, 64 ТК РФ). Так, в каждом договоре указываются его ФИО и паспортные данные, а эта информация — персональные данные (п. 1 ст. 3 Закона № 152-ФЗ). В последующем работодатель также собирает и обрабатывает сведения о работнике, например, о статусе одинокой матери при принятии решения об увольнении (ч. 2 ст. 179, ч. 4 ст. 261 ТК РФ). То есть персональные данные обрабатываются, чтобы выполнить требования закона.

На заметку:

персональные данные — любая информация, по которой можно определить, что речь идет о конкретном работнике (п. 1 ст. 3 Закона № 152-ФЗ, подп. «а» ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, заключена в г. Страсбурге 28.01.1981).

Однако спорным является то, насколько необходима обработка данных за рубежом.

В январе 2015 года Минкомсвязи выпустило неофициальное разъяснение (письмо от 19.01.2015 № П12-722-ОГ). Мнение чиновников было выгодно для работодателей – иностранных компаний, которые действуют в России через представительство или филиал. Позиция Минкомсвязи такова: на оператора-работодателя в отношении обработки персональных данных работника требования Закона № 242-ФЗ не распространяются.

Этот подход логичен. Например, компания открывает в России небольшое представительство, в котором отсутствует кадровый работник. Вопросы кадров решают сотрудники головного офиса или иностранного регионального центра. В такой ситуации обосновано, что база данных находится за пределами России.


Подробнее о проверке персональных данных при приеме на работу мы написали в материале по ссылке.


Но уже в августе 2015 года чиновники из Минкомсвязи скорректировали позицию. Она стала менее категоричной: правильно ли работодатель применил исключение из ч. 5 ст. 18 Закона № 152-ФЗ — проверит Роскомнадзор при контрольных мероприятиях. Разъяснения включены в раздел «Ответы на часто задаваемые вопросы».

Поэтому лучше хранить информацию о работниках на территории России. Если этому мешают организационные моменты, нужно будет доказать, что работодатель обрабатывает персональные данные за пределами РФ в силу закона.

К слову сказать:

положение об обработке персональных данных нужно разработать в каждой компании (ст. 86–88 ТК РФ). И не забудьте ознакомить с положением каждого работника при приеме на работу (ч. 3 ст. 68 ТК РФ).

Шкаф с личными делами работников — это база данных или нет?


Подробнее об общедоступных персональных данных мы написали в материале по ссылке.


Роскомнадзор рассматривает шкаф как базу данных, а Минкомсвязи — нет. Судебной практики по данному вопросу нет.

Минкомсвязи считает, что база данных может быть только электронной. При этом чиновники ссылаются на ст. 1260 ГК РФ; в ней раскрыто понятие «база данных». Под базой данных понимают систематизированные материалы, которые можно найти и обработать с помощью электронно-вычислительной машины (ЭВМ). К материалам относятся статьи, расчеты, нормативные акты, судебные решения и иные подобные материалы.

Роскомнадзор к базам данных относит, в том числе:
— электронные файлы в формате Excel или Word (списки, таблицы);
— архивы, картотеки на бумажных носителях.

Свою позицию чиновники разъяснили в письме от 19.01.2015 № 08АП-3572. Вывод обосновали ст. 2 Модельного закона о персональных данных (принят в г. Санкт-Петербурге 16.10.1999).

Цитируем документ
«База персональных данных — упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных)».

Пока не ясно, какая позиция возобладает на практике. Представляется, что позиция Минкомсвязи, которая основана на российском законодательстве, имеет больше шансов стать основной. Но проверять компанию на соблюдение законодательства о персональных данных будет Роскомнадзор (п. 1 Положения, утв. постановлением Правительства РФ от 16.03.2009 № 228). Поэтому до появления судебной практики и официальных разъяснений можно рассматривать шкаф с личными делами как базу данных. На что влияет объем понятия базы данных — раскрывается в настоящей статье ниже.

На какой территории можно обрабатывать данные повторно, если их собрали и сохранили в России?

Вторичную (последующую) обработку персональных данных в форме хранения и иным образом, указанном в Законе № 242-ФЗ, нужно вести в России. Несмотря на неоднозначные разъяснения Минкомсвязи, это наиболее безопасный способ обработки персональных данных.

На официальном сайте Минкомсвязи чиновники отвечают на конкретные вопросы работодателей (http://www.minsvyaz.ru/ru/personaldata/). Из некоторых ответов можно сделать противоположные выводы.

Локализация баз нужна только при первичном сборе данных. В части 5 ст. 18 Закона № 152-ФЗ говорится только о первичном сборе персональных данных. Например, работодатель при найме внес персональные данные работника в трудовой договор, личную карточку и программу 1С, которые хранятся в России. Значит, он выполнил требование Закона № 242-ФЗ. Если работодатель внесет (скопирует) данные в том же или меньшем объеме в иностранную систему (к примеру, SAP или Oracle), то закон он не нарушит (http://www.minsvyaz.ru/ru/personaldata/#1438548218895).

На заметку:

работника, который имел доступ к персональным данным коллег и разгласил их, можно уволить «по статье». В этом случае применяйте подп. «в» п. 6 ч. 1 ст. 81 ТК РФ.

Локализация баз нужна при любом сборе данных. Понятия «первичный сбор» персональных данных не существует. Такая трактовка ч. 5 ст. 18 Закона № 152-ФЗ ошибочна. В Законе № 242-ФЗ установлены требования к локализации персональных данных при любом их сборе. Поэтому хранить сведения, систематизировать их или уточнять нужно в базах данных, которые находятся на территории России. Работодатель нарушит закон, если, например, скопирует данные из системы 1С в CRM с сервером за пределами России (http://www.minsvyaz.ru/ru/personaldata/#1438172543230).

Позиция о необходимости локализации базы данных только при первичном сборе информации в большей степени отвечает интересам работодателей. Но стоит признать, что полностью обосновать ее нормами закона сложно. Так, тезис о том, что под сбором персональных данных понимается их получение непосредственно от субъекта, например от кандидата при найме, не согласуется с ч. 3 ст. 18 «Обязанности оператора при сборе персональных данных» Закона № 152-ФЗ. По этой норме данные можно получить от третьих лиц.

Роскомнадзор уже несколько месяцев проводит плановые проверки работодателей на соблюдение законодательства о локализации баз данных. В 2015 году контролеры не выявили нарушений в части локализации у организаций, которые предположительно используют иностранные базы данных. В частности, в декабре 2015 года успешно прошло проверку ООО «Дженерал Моторз Авто» (https://proverki.gov.ru). Однако показательным будет 2016 год, когда пройдут массовые проверки в крупных компаниях с иностранным участием (http://rkn.gov.ru/news/rsoc/news37043.htm).

Уведомление об обработке персональных данных

В каких случаях нужно уведомить Роскомнадзор об обработке персональных данных?

Если компания обрабатывает персональные данные не только работников и контрагентов — физических лиц. То есть фактически любая компания обязана уведомить чиновников об обработке персональных данных.

По общему правилу работодатель обязан направить в Роскомнадзор уведомление о начале обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ). Многие компании до сих пор этого не сделали. Они обосновывают это так: работодатель обрабатывает персональные данные только своих работников. Поэтому компания подпадает под исключение, которое установлено в п. 1 ч. 2 ст. 22 Закона № 152-ФЗ. Согласно этой норме работодатель вправе обрабатывать персональные данные в соответствии с трудовым законодательством без уведомления Роскомнадзора.

Но в большинстве случаев позиция о том, что уведомление не требуется, ошибочная. Ведь работодатель обрабатывает данные не только работников, но и других субъектов. Например, представителей контрагентов при получении доверенностей или работников других компаний, входящих в одну группу с работодателем. В таких случаях рекомендуется направить уведомление в Роскомнадзор.

По какой форме нужно уведомить Роскомнадзор?

30 дней — срок, в течение которого Роскомнадзор внесет сведения о компании в реестр операторов.

Уведомление можно подать в форме электронного документа, лично или через почту. В последнем случае воспользуйтесь формой из приложения № 2 к Административному регламенту (утв. приказом Минкомсвязи России от 21.12.2011 № 346 с изм. от 28.08.2015; далее — Административный регламент).

Включите в уведомление сведения о персональных данных работников (п. 7 Временных рекомендаций по заполнению формы уведомления, утв. Роскомнадзором 30.12.2014). Исключения, установленные в ч. 2 ст. 22 Закона № 152-ФЗ, в данном случае неприменимы.

Роскомнадзор внесет информацию из уведомления в реестр операторов в течение 30 дней с даты получения документа. Платить деньги за это не нужно (ч. 4, ч. 5 ст. 22 Закона № 152-ФЗ).

Работодатели, которые не уведомили Роскомнадзор, рискуют получить письмо от чиновников. В ответ на него работодатели будут обязаны направить уведомление или обосновать причины его ненаправления. В последнем случае увеличивается риск проверки Роскомнадзором соответствия действительности такого рода обоснования. Так, согласно ежегодному отчету за 2014 год Роскомнадзор направил операторам более 58 тыс. таких писем (http:// rkn.gov.ru/docs/Otchet_ZPD_rus.pdf).

интересный вопрос

Как указать в уведомлении в Роскомнадзор наименование базы данных и ее местонахождение?

Укажите в уведомлении фактический адрес, где работодатель хранит базу данных. В качестве наименования отразите название информационной системы.

С 1 сентября 2015 года приказ Минкомсвязи России от 28.08.2015 № 315 внес изменения в Административный регламент. Форму уведомления об обработке персональных данных дополнили графами, куда нужно вписать:
— страну нахождения базы данных;
— адрес ее местонахождения;
— наименование информационной системы (базы данных).

Укажите эти сведения, например, так: «Система 1С, расположенная по адресу: Российская Федерация, г. Москва, индекс 100000, улица Зимняя, дом 10».

Как составить уведомление на несколько информационных систем (баз данных)?

В бумажном уведомлении об обработке персональных данных перечислите сведения о каждой базе.

В компании бывает несколько (иногда несколько десятков) информационных систем (баз данных). Например, по бухгалтерскому учету, обучению работников, их оценке и т. д. Представляется, что нужно указывать информацию по всем таким системам.

В электронной форме уведомления на сайте Роскомнадзора можно указать несколько информационных систем с подробным описанием их характеристик (http://pd.rkn.gov.ru/operators-registry/notification/form/). При этом электронная форма предполагает конкретизацию, которая не предусмотрена ни Законом № 152-ФЗ, ни Административным регламентом. Так, работодателю предлагается отразить, является ли центр обработки данных его собственностью или работодатель использует внешний центр (например, арендует его).

Если в уведомлении в качестве места нахождения базы данных будет указано иностранное государство, то, скорее всего, Роскомнадзор проверит компанию. Тогда велик риск того, что компанию привлекут к административной ответственности. Об этом 11 ноября 2015 года упомянула заместитель руководителя Роскомнадзора А. А. Приезжева на ежегодной конференции, посвященной защите персональных данных (http://zpd-forum.com/programm.html).

Те работодатели, которые отправили уведомление до 01.09.2015, по мнению Минкомсвязи, были обязаны направить в Роскомнадзор сведения о месте нахождения базы данных до 15.09.2015. Такое разъяснение приведено на официальном сайте — http://www.minsvyaz.ru/ru/personaldata/answers/#1438781125045.

Но наказать компанию за непредоставление дополнительной информации о месте нахождения баз данных контролеры не могут — истек 3-месячный срок давности для привлечения к административной ответственности. Более того, с учетом ч. 7 ст. 22 Закона № 152-ФЗ необходимость дополнительного уведомления является спорной. Ведь сведения об операторе (работодателе) и обработке данных остались прежними. Изменились требования закона.


Читайте о уничтожении персональных данных, чтобы не совершать ошибок.


Что делать, если данные из уведомления поменялись?

Если сведения из уведомления изменятся, то отправьте в Роскомнадзор информационное письмо. На это отводится 10 рабочих дней с даты изменений. Форма письма приведена в приложении № 3 к Административному регламенту. Ранее эти сведения работодатель предоставлял в свободной форме.

Виды нарушений при обработке персональных данных

30 дней — срок для уничтожения электронного резюме после приема на работу или отказа кандидату.

За что чаще всего наказывают работодателей?

Когда работодатели обрабатывают персональные данные работников, то допускают ряд нарушений. Рассмотрим основные ошибки.

Не приняты меры для сохранения персональных данных (постановление Волгоградского областного суда от 15.04.2011 № 7а-392/11). В задачи работодателя входит защита персональных данных работников (п. 7 ст. 86 ТК РФ). Часть компаний игнорирует это правило. В итоге документы теряются, к персональным данным получают доступ третьи лица.

Чтобы сохранить персональные данные, например, на бумажных носителях, используйте Положение, утвержденное постановлением Правительства РФ от 15.09.2008 № 687. Для этого:
— определите места хранения личных дел, трудовых книжек, архива. В этих целях используйте локальный акт;
— установите перечень лиц, которые будут обрабатывать персональные данные. В локальном акте укажите должности, например, начальник отдела кадров, бухгалтер по расчету зарплаты. А в приказе — конкретные ФИО работников;
— зафиксируйте меры для сохранности персональных данных. Пропишите, что работники с доступом к персональным данным обязаны использовать ключи для запирания шкафов с такими данными и не передавать их посторонним.

Нет согласия работника на обработку персональных данных. Нередко работодатели обрабатывают информацию о работнике без его письменного согласия. Еще одно нарушение — согласие получено, но его содержание не соответствует требованиям Закона № 152-ФЗ.

В рамках трудовых отношений обрабатывать данные работников можно без согласия. Например, оно не требуется для заполнения и хранения трудового договора или личной карточки. Это следует из п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 1 ст. 86 ТК РФ, абз. 1 Разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных…» (далее — Разъяснения).

Но есть исключения. Например, ситуация с анкетами кандидатов. Работодатели часто предлагают соискателям заполнить опросники, анкеты. Чтобы получить согласие соискателя на обработку персональных данных, предусмотрите в электронной форме специальное поле. На это указал Роскомнадзор в абз. 17 п. 5 Разъяснений.

Согласие работника требуется и если работодатель передает расчет зарплаты на аутсорсинг (абз. 2 ст. 88 ТК РФ). В данном случае доступ к персональным данным получает третья сторона. Перед тем, как работник подпишет согласие, проконтролируйте, есть ли в нем обязательный реквизит — название и адрес привлеченной организации, которая будет рассчитывать заработную плату. Она станет лицом, которое будет осуществлять обработку персональных данных по поручению оператора-работодателя.

10 рабочих дней — в такой срок нужно направить в Роскомнадзор письмо об изменении сведений об операторе.

Персональные данные обрабатываются после того, как достигнута цель. Работодатели часто забывают, что у них хранятся персональные данные, которые стали ненужными. Например, резюме кандидатов, которые поступили по электронной почте. Их нужно уничтожить не позднее 30 дней с момента принятия решения о приеме либо отказе в найме (ч. 4 ст. 21 Закона № 152-ФЗ). Оставить электронные документы нельзя, поскольку в законе для них нет сроков хранения. Для большинства бумажных носителей (трудовые договоры, приказы, личные карточки и т. д.) установлены длительные сроки хранения (ст. ст. 19, 657, 658 Перечня, утв. приказом Минкультуры России от 25.08.2010 № 558).

С 01.09.2015 у Роскомнадзора больше свободы при проверках. На них не распространяется Федеральный закон от 26.12.2008 № 294-ФЗ. Но это не абсолютная свобода. Правила проведения проверок установлены в Административном регламенте (утв. приказом Минкомсвязи России от 14.11.2011 № 312). Он во многом базируется на положениях Закона № 294-ФЗ и процессуальные гарантии продолжают действовать. Правительство РФ разрабатывает новый порядок проведения проверок. Но пока он не принят.

© Материал из Системы Кадры
Готовые решения для службы персонала на www.1kadry.ru
Дата копирования: 05.02.2016

05.02.2016

С уважением и пожеланием комфортной работы, Татьяна Козлова,

эксперт Системы Кадры

Петиция от всех кадровиков России

В Трудовом кодексе есть досадные пробелы, которые усложняют работу кадровикам, хотя ничего не стоит их устранить.



Школа

Самое выгодное предложение

Проверь свои знания и приобрети новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...

САМОЕ ВАЖНОЕ






Рассылка




© 2011–2017 ООО «Актион кадры и право»

Журнал «Кадровое дело» –
практический журнал по кадровой работе

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Кадровое дело». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

Зарегистрировано Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации Эл №ФС77-43626 от 18.01.2011


Упс! Материал только для зарегистрированных пользователей

Чтобы продолжить чтение статей на сайте журнала «Кадровое дело», пожалуйста, зарегистрируйтесь. Это займет 1 минуту, а вы получите доступ к профессиональным материалам и полезным сервисам для кадровых специалистов:

  • статьи и готовые рекомендации по главным вопросам кадрового делопроизводства;
  • шпаргалки для безошибочной работы;
  • вебинары и презентации от лучших экспертов по кадрам.
 

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Скачивание доступно после регистрации


Зарегистрируйтесь бесплатно
и скачивайте любые документы.



У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Профессиональные тесты доступны только после регистрации!

Только зарегистрированные пользователи могут проходить профессиональное тестирование на сайте. Регистрация бесплатна и займет менее минуты. После нее Вы сможете проверить свои знания, а также получите доступ к материалам и всем сервисам сайта.

Вас также ждет подарок: 10 кадровых шпаргалок на каждый день.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Всего один шаг - и документ Ваш!

Только зарегистрированные пользователи имеют доступ к полной базе нормативных документов. Регистрация бесплатна и займет менее минуты. После нее Вы сможете загрузить документ, а также получите доступ к материалам и сервисам сайта.

Вас также ждет подарок: 10 кадровых шпаргалок на каждый день.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль