Каждый внутренний документ в компании важен, особенно когда мы говорим о правилах, обязательных для всех сотрудников. Их не только нужно грамотно составить и сформулировать, но и ознакомить работников с ними. А еще – чтобы они поставили подпись об ознакомлении или согласии. Отсутствие даже одной подписи/согласия таит в себе массу рисков: от сложностей с легализацией документа до возможного конфликта с сотрудниками.
Именно поэтому формулировки в
локальных нормативных актах и ознакомление с документами – одни из наиболее
сложных для HR. Особенно, если речь идет об
индивидуальной информации. Положение о персональных данных – самый яркий пример.
Ошибка в нем «в худшем случае» может привести к тому, что вы не сможете
обрабатывать личные данные сотрудников. А они нужны практически всегда – от
оформления кадровых документов до начисления зарплаты.
Итак, что же сегодня обязательно
должно быть в Положении о персональных данных?
Основное требование к этому
документу… — его обязана разработать каждая компания, и он должен быть основан
на нормах действующего законодательства. Об этом в частности говорит ст. 87
Трудового кодекса РФ. Согласно этой норме, порядок хранения и использования
данных работодатель устанавливает с учетом требований ТК РФ и других законов.
Это подразумевает, что компания регулирует порядок обработки информации на
своем корпоративном уровне. Следовательно, нужно разработать ЛНА и определить
порядок хранения и использования данных. Не будет документа – ГИТ запросто
квалифицирует это как нарушением норм трудового права. Кстати, есть и судебная
практика, подтверждающая правоту инспекции.
И, пожалуй, это единственное
жесткое требование к Положению о ПД. Других правил, например, в какой форме
издавать документ, что в нем обязательно должно быть – законы не описывают.
Следовательно, все это остается на усмотрение работодателя. Исходя из нашей
практики, мы можем предложить несколько базовых параметров в Положении.
Во вводном – общем разделе стоит
указать цель этого документа и какие вопросы он будет регулировать. Далее, по
общему опыту, уточняется структура персональных данных сотрудников. Здесь
перечисляются корпоративные документы, в которых содержится такая информация.
Далее понадобится разъяснение по основному вопросу – «получение, хранение и
обработка данных». Здесь необходимо указать, какие условия должны быть
соблюдены при этих процессах с персональными данными. Еще одна важнейшая часть
документа – передача информации. Вам обязательно надо четко определить порядок
передачи данных внутри компании, а также третьим лицам и государственным
организациям. Уместным будет пункт о доступе к информации. В нем вы укажете
порядок доступа к персональным данным. При этом он может быть внутренним и
внешним.
Отдельным и обязательным является
раздел об ответственности. Здесь необходимо указать, кто в компании несет
ответственность за нарушение правил хранение и использования персональных данных.
Предлагаем также сделать отсылку на размеры ответственности, то есть – указание
на закон о защите персональных данных и законодательно установленные суммы
штрафов.
Исходя из специфики деятельности,
можно предусмотреть и другие разделы в документе. Например, в страховой
компании, банке — порядок передачи информации контрагентам и брокерам, в фарме
– правила использования данных медпредставителей и врачей в медицинских
организациях и т.д.
Главное – чтобы документ был утвержден Приказом и с Правилами могли ознакомиться все работники. Кроме того, вместе с Положением вам потребуется еще один документ – шаблон согласия на обработку персональных данных. Т.к. этого требует ст. 9 ФЗ «О персональных данных». В ней четко фиксируется, что обработка информации возможно только с согласия работника, а при возникновении спора доказать это должен именно работодатель. Поэтому работодателю лучше сразу защитить себя от возможного риска.
Автор, Елена Кожемякина, Управляющий партнер юридической фирмы
