Поговорим о персональных данных работников?

[Curly Sue]

Недавно изучила закон о персональных данных, хотя действует он с 01.01.2007 - Федеральный Закон "О персональных данных" от 27.07.2006 № 152-ФЗ


Изучила, и мне стало дурно... Закон явно не рассчитан на работодателей и потребности кадровых служб, но тем не менее, соблюдать его нам надо...

Закон не самый свежий, конечно, но на его тщательное изучение подтолкнула информация о том, что до конца текущего будет создан специальный контролирующий орган, который и будет проверять организации на предмет соблюдения закона о персональных данных.

Ну ладно ещё
- разработать и утвердить положение о персональных данных;
- знакомить при приёме на работу с ним всех сотрудников (хотя тут уже голова кружится от количества документов, которые бедный работник должен прочитать перед приёмом на работу и от количества листов/журналов ознакомления);
- ладно оборудовать отдел кадров/бухгалтерию сплошь закрывающимися шкафами и не оставлять на столе карточки Т-2

но как быть со следующими положениями:

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
...

Нам очень красочно описали всё процедуру, скажем, приёма на работу.
Работник должен написать согласие на обработку, хранение, использование его перс. данных, причём чётко указывать, каких, например, нельзя указать: паспорт или паспортные данные, надо расписывать всё: какие страницы паспорта он разрешает нам смотреть и тем более копировать. Скажем, первую страничку и регистрацию - да, а вот семейное положение и дети - фигушки вам.
Потом - чётко указывать, в каких целях оператор,то бишь в данном случае работодатель) может его данные использовать. Скажем, заполнить карточку Т-2 - пропишите в разрешении, передать данные в страховую компанию для оформления полиса - пропишите в разрешении, в банк для оформления карточки - пропишите в разрешении.....

Несколько непонятно, как это соотносится со ст. 65 ТК РФ, где, например, указан в качестве обязательного документа паспорт, получается, предъявить-то он его обязан, но чтобы, например, снять копию, как мы все делаем, или пролистать все страницы, мы должны взять у него письменное разрешение?

Вообще, закон повергает меня в состояние, близкое к шоку.
Получается так: повесил на стенку ФИО, должность, номер телефона коллег - публичное разглашение их персональных данных, покажи бумажку, где они тебе это разрешили.
Поздравил Пупкину Виталину Никифоровну с 55-летием, повесив плакат в коридоре - покажи от неё разрешение
и т. п. и т. д. Под этот закон можно подвести буквально каждый шаг и действие...

Для кадровика (и не только, кстати) - для любого лица, получающего доступ к персональным данным, мерой ответственности за их разглашение может стать увольнение ( пп. "в" п. 6 ч. 1 ст. 81 ТК РФ), это дисциплинарная ответственность, для руководителя есть ещё административная и уголовная..

Как вы решаете проблем сохранности персональных данных работников? Кто с какими проблемами сталкивался? Наказывали ли кого-нибудь за нарушение порядка обработки и хранения таких данных?

[Нея]

Под этот закон можно подвести буквально каждый шаг и действие...

Для, в общем-то, редкой от природы категории работников-сутяжников, этот закон - повод бодаться с работодателем. Да для них любой НПА - повод.
Повод и для работодателя придраться к кадровику, бухгалтеру и др.лицу, связанному с персональными данными работников, в случае, если ответственное лицо неугодно руководству и его необходимо уволить. Но условие "о неразглашении" должно быт прописано в ЛНА организации или ТД ответ лиц.Применяя этот закон, как и любой другой, придется искать золотую середину.

[Лежебока]

Как вы решаете проблем сохранности персональных данных работников? Кто с какими проблемами сталкивался? Наказывали ли кого-нибудь за нарушение порядка обработки и хранения таких данных?

У нас тут на смежном предприятии ввели что-то типа "внутреннего положения о персональных данных".
Смех и грех.
Бухгалтерии и кадрам запретили обсуждать и разглашать другим сотрудникам личные данные. (Ну типа: "да ты посмотри, она ж какого года рождения, а выглядит, всего на 25 лет" или "А Ленка-то третий раз замужем"). Это ладно.
Сотрудникам запретили обсуждать друг с другом свою зарплату. И вообще разглашать свою зарплату. Даже вроде как ответственность какую-то ввели. Это вообще обсмеяться.
Но самый цимес в том, что они до сих продолжают выдавать заработную плату по ведомости. То есть любой сотрудник с легкостью пробегает глазами всю ведомость и видит кто сколько сегодня получил.

[Curly Sue]

Для, в общем-то, редкой от природы категории работников-сутяжников, этот закон - повод бодаться с работодателем.

Редко, но метко, как говорится.... Всю душу вынут

Да для них любой НПА - повод.

Да..... Ну этот ФЗ вообще в этом отношении ужасен

условие "о неразглашении" должно быт прописано в ЛНА организации или ТД ответ лиц

То бишь, если не прописаны ответственные лица, то отвечать, в случае чего, будет руководитель?
Пойду-ка я проверю. чего я там понаписала в положении о перс. данных

Бухгалтерии и кадрам запретили обсуждать и разглашать другим сотрудникам личные данные. (Ну типа: "да ты посмотри, она ж какого года рождения, а выглядит, всего на 25 лет" или "А Ленка-то третий раз замужем"). Это ладно.

Я тоже разработала положение о персональных данных, весьма формальное, прописала круг лиц, имеющих доступ к персональным данным бех спец. разрешения руководителя (кстати, над этим надо очень внимательно подумать, круг таких лиц шире, чем кажется на первый и даже на второй раз, я, например, не подумала о сисадмине. который работает с 1С ЗиК)

Сотрудникам запретили обсуждать друг с другом свою зарплату. И вообще разглашать свою зарплату. Даже вроде как ответственность какую-то ввели. Это вообще обсмеяться.

Угу... Тема про зарплату, насколько я помню, поднимается в законе о коммерческой тайне, где написано, что з/п сотрудников не может быть предметом коммерческой тайны...

Сейчас подумала о почте... Сколько там персональных данных используется и обрабатывается. Но про почту есть ФЗ, почему же для работодателей не предусмотрено оговорок в законе о персональных данных, никаких поблажек и "спецрежимов"

[vyacheslav_s]

Можно же в положении написать общими словами. Т.е. не просить у работника разрешение на любой чих (например на использование данных в 2НДФЛ), а чтобы он сразу написал что-то вроде "разрешаю использовать мои персональные данные в целях установленных налоговым и трудовым законодательством" ну или что-то вроде того.

[Curly Sue]

vyacheslav_s,
перечитайте выдержку из ФЗ в моём первом посте. Буквально за каждый чих хотят, в том-то и дело

[vyacheslav_s]

Curly Sue, я читал и Ваш пост и сам закон и прошлогоднее Постановление Правительства (октябрьское) разъясняющее применение закона .
Я так понимаю Вы меня отсылаете к следующему моменту:
"Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:.....3) цель обработки персональных данных;"?

Так я клоню к тому, что цель обработки Вы можете написать по-разному. Можно предельно конкретно: "Предоставление 2НДФЛ" или "Сдача персонифицированной отчетности в ПФ" и получится, что уже дважды надо просить подпись. А можете написать обтекаемо "Сдача налоговой и прочей отчетности предписанное налоговым, трудовым и прочим законодательством РФ".

[Curly Sue]

Я так понимаю Вы меня отсылаете к следующему моменту:
"Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:.....3) цель обработки персональных данных;"?

Ну да, и
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

Так я клоню к тому, что цель обработки Вы можете написать по-разному. Можно предельно конкретно: "Предоставление 2НДФЛ" или "Сдача персонифицированной отчетности в ПФ" и получится, что уже дважды надо просить подпись. А можете написать обтекаемо "Сдача налоговой и прочей отчетности предписанное налоговым, трудовым и прочим законодательством РФ"

Да, тут надо подумать над формулировками, чтоб не слишком в общем и не подробно в частностях.

Обмозгую на досуге форму такого разрешения, выложу соображения

Представила себе реакцию кредитных инспекторов, звонящих проверить информацию о потенциальном заёмщике - нашем работнике, когда я им скажу: позвоните через часок, я сейчас возьму письменное разрешение работника

[Laric]

можете написать обтекаемо "Сдача налоговой и прочей отчетности предписанное налоговым, трудовым и прочим законодательством РФ

да, причем если добавить "в случаях, предусмотренных ст.9 Закона о персональных данных" - будет не к чему придраться.
Имхо, конечно

Представила себе реакцию кредитных инспекторов, звонящих проверить информацию о потенциальном заёмщике

А кстати!
И военкомату так же отвечать!!! пусть возразят против закона!!!

[ЛО]

кредитных инспекторов, звонящих проверить информацию о потенциальном заёмщике - нашем работнике

Хм, сколько раз звонили, спрашивали всего лишь подтверждение, что такой человек действительно работает.

[Лежебока]

Представила себе реакцию кредитных инспекторов, звонящих проверить информацию о потенциальном заёмщике - нашем работнике, когда я им скажу: позвоните через часок, я сейчас возьму письменное разрешение работника

А кстати, что они спрашивают?
Мне звонили пару раз. Спрашивали только должность, действительно ли он работает у нас, и не собираемся ли мы в ближайшее время его увольнять. Всё.

Подтвердить что-то из справки о доходах даже не посили, что странно.

[Laric]

"персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация"

[YUM]

Наше законодательство было одной из главных причин, по которой я бросил работу главбуха. Опостобрыдло чуть ли не каждую неделю узнавать о своих новых обязанностях и появлении новой толпы ревизоров...
Я пришел к устойчивому убеждению, что выполнить все предписания, спускаемые сверху НЕВОЗМОЖНО! Но за каждое неисполненный чих, с меня могут содрать если не три шкуры, то полкило нервов.

[Шмымзик]

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

Инд. сведения и 2-НДФЛ не требуют согласия работников.

[Laric]

за каждое неисполненный чих, с меня могут содрать если не три шкуры, то полкило нервов

это уж как с добрым утром...

Закон обсуждаемый тут - он же еще массу интереснейших вещей предусматривает.
ст.14
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных".

никакой шкуры и нервов не хватит...

[бух2007]

Хм, сколько раз звонили, спрашивали всего лишь подтверждение, что такой человек действительно работает

А меня все время спрашивают сколько з/пл у потенциального заемщика. А в маленькой фирме в маленьком городе персональные данные любого работника-это достояние всей фирмы. Потому как каждый знает о своем коллеге по работе столько, сколько тот сам про себя не знает. И как тут их сохранить в тайне?

[Шмымзик]

И вообще - на мой взгляд, начисление з/п явно подпадает под:

обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

Поэтому на всякие ЗиКи, 1С и прочие - тоже не нужно согласия работника.

[Laric]

Шмымзик, соглашусь. Тем более в ТК понятие "персональных данных работника" вроде как конкретизировано в виде "информация, необходимая работодателю в связи с трудовыми отношениями "
Но все равно прочтение специального закона вызывает смешанные чувства...

[Curly Sue]

Наше законодательство было одной из главных причин, по которой я бросил работу главбуха. Опостобрыдло чуть ли не каждую неделю узнавать о своих новых обязанностях и появлении новой толпы ревизоров...
Я пришел к устойчивому убеждению, что выполнить все предписания, спускаемые сверху НЕВОЗМОЖНО! Но за каждое неисполненный чих, с меня могут содрать если не три шкуры, то полкило нервов.

я уж тоже подумываю, наф мне эти кадры, пойду продавать чё-нить

[vyacheslav_s]

Шмымзик, спасибо за статью 6 (закон давно читал, подзабылся маленько).
А по поводу 1С, ЗиК и других программ, замечу так же, что для них законом выдвигается требования по шифрованию персональных данных сертифицированными средствами (например Крипто Про). Правда там есть отсрочка до 2010 года (программы существующие на момент вступления в силу закона должны быть приведены в соответствие закону к 2010 году).
Так что все будет "весело"
Особенно когда бухгалтера-расчетчики случайно или не очень начнут терять ключи шифрования

[Laric]

vyacheslav_s, да, наши уже столкнулись.
Для предупреждения "веселья" особо умные головы в приказ ключи всего подразделения пишут и хранят в папочке с документами
Все опять по-нашенски

[Curly Sue]

сертифицированными средствами (например Крипто Про). Правда там есть отсрочка до 2010 года (программы существующие на момент вступления в силу закона должны быть приведены в соответствие закону к 2010 году).
Так что все будет "весело"

Контрольный в голову Пошла увольняться

[vyacheslav_s]

Пошла увольняться

Ну 1.5 года можно еще поработать