Каким образом работодателю следует оформить доступ отдельных должностных лиц организации к персональным данным ее работников?
Ответ: С целью должного оформления доступа отдельных должностных лиц организации к персональным данным ее работников следует оформить следующие локальные акты:
- положение о персональных данных работников;
- приказ об утверждении списка лиц, имеющих доступ к персональным данным работников;
- обязательство о неразглашении персональных данных;
- порядок хранения и использования персональных данных.
Работники, которым открыт доступ к персональным данным других сотрудников организации, должны быть ознакомлены с локальными актами организации под роспись.
В целях обеспечения выполнения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), на наш взгляд, целесообразно отразить в должностной инструкции (внести дополнения) работника право на доступ к персональным данным других работников.
Обоснование: Согласно п. 1 ст. 3 Закона N 152-ФЗ такими данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Операторы и иные лица, получившие доступ к подобным сведениям, обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта персональных данных (ст. 7 Закона N 152-ФЗ).
Возникают ситуации, когда отдельным должностным лицам организации необходимо получить информацию о персональных данных работников - эти сведения нужны для выполнения трудовых обязанностей.
В то же время работодатель обязан соблюдать требования ст. 88 Трудового кодекса РФ, согласно которой доступ к персональным данным работников может быть разрешен только специально уполномоченным лицам. При этом должно выполняться одно условие: указанные лица вправе получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
Порядок обработки персональных данных, права и обязанности работников регламентируются локальными нормативными актами (ст. 88 ТК РФ). Поэтому работодателю следует издать положение о персональных данных работников, а также приказ о допуске конкретных лиц к информационной системе, в которой содержатся эти данные.
Отметим, что локальный нормативный акт (приказ) должен содержать не только наименование должности, но и фамилию, имя, отчество сотрудника, которому предоставлен доступ к системе, содержащей персональные данные. Каждый уполномоченный сотрудник должен быть ознакомлен с приказом под роспись с указанием даты ознакомления.
В соответствии с п. 7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного использования или утраты. Следовательно, лица, имеющие доступ к этим сведениям, обязаны не разглашать ту конфиденциальную информацию, которая стала известна им в связи с выполнением трудовых обязанностей.
Согласно п. 8 ст. 86 ТК РФ работники должны быть ознакомлены под роспись с локальным нормативным актом работодателя, устанавливающим порядок хранения и использования персональных данных. Таким актом обычно является положение о персональных данных работников.
Кроме того, наличие доступа к персональным данным в связи с исполнением трудовых обязанностей, на наш взгляд, следует указать в должностной инструкции соответствующего работника, при этом взяв с него обязательство об их неразглашении.
Итак, в организации должны быть оформлены следующие локальные акты:
- положение о персональных данных работников;
- приказ об утверждении списка лиц, имеющих доступ к персональным данным работников;
- обязательство о неразглашении персональных данных;
- порядок хранения и использования персональных данных.
И. Е.Иванова
Консалтинговая группа "Аюдар"
23.03.2012