Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.
Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.
Некоторые компании и сайты оказывают услуги в их подготовке: Контур , Б-152 , FreshDoc . А можно скачать шаблоны этих документов.
В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:
1. Перечень сведений конфиденциального характера
Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример .
2. Инструкция администратора информационной безопасности
Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый , второй .
3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).
4. Перечень персональных данных, подлежащих защите в информационных системах.
Пример.
Рекомендации Роскомнадзора по составлению документа , определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
5. Приказ об утверждении мест хранения персональных данных.
Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример .
6. Перечень помещений, в которых ведется обработка персональных данных.
7. Инструкция пользователей информационной системы персональных данных.
Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.
8. Приказ о назначении комиссии по уничтожению персональных данных.
Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано . Пример Приказа .
9. Проект системы защиты информационной системы персональных данных. Пример .
10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Пример .
11. План внутренних проверок режима защиты персональных данных.
План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример .
12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных. Пример .
13. Журнал учета носителей информации информационной системы персональных данных.
14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.
Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример .
15. План проведения внутренних проверок состояния защиты ПД.
Образец документа можно найти и .
16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.
Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример .
17. Правила обработки персональных данных без использования средств автоматизации. О регулировании .
18. Положение о разграничении прав доступа к обрабатываемым персональным данным. Пример .
19. Акт классификации информационной системы персональных данных.
Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.
20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных. Пример .
21. Инструкция по организации парольной защиты.
22. Журнал периодического тестирования средств защиты информации.
23. Форма акта уничтожения документов, содержащих персональные данные.
Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё .
24. Журнал учета средств защиты информации(перечень технических средств). Пример .
25. Журнал проведения инструктажа по информационной безопасности (для организаций).
26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.
27. Приказ о перечне лиц, допущенных к обработке персональных данных.
28. Положение о защите персональных данных.
Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.
Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).
29. Соглашение о неразглашении персональных данных.
Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример .
30. План мероприятий по обеспечению безопасности персональных данных.
В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример .
31. Модель угроз безопасности в информационной системе персональных данных.
Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. .
Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример .
32. Форма ответа на запрос субъекта персональных данных. Пример .
Не забывайте заполнять и обновлять эти документы!
Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на [email protected].
В соответствии с ч. 1 ст. 5 ТК РФ локальные нормативные акты, содержащие нормы трудового права, регулируют трудовые и иные непосредственно связанные с ними отношения. Как правило, локальные нормы устанавливаются как результат соглашения участников социально-трудовых отношений. Именно в этом и состоит специфика правового регулирования отношений наемного труда на уровне организации Лебедев В.М. Лекции по трудовому праву России. - Томск, 2001..
В любой организации существует определенная совокупность процедур и правил использования информации. Она отражает отдельные этапы получения, хранения, комбинирования, передачи и иного использования информации. Соблюдение указанного алгоритма обработки информации гарантирует информационное обеспечение достижения поставленных работодателем целей. Часть этого технологического процесса составляет обработка конфиденциальной информации, в состав которой входят персональные данные работника. Отношения по соблюдению порядка информационного оборота регламентируются в нормативных документах - локальных актах организации. Эти акты отражают особенности организации, связанные с использованием информации. В настоящее время производственное и технологическое развитие организации во многом зависит от уровня организованности локальной нормоустановительной деятельности Веселова Е.Р. Локальное нормотворчество в организации // Трудовое право. 2004. № 9.. «В дальнейшем, с развитием производственных отношений, усложнением технологических процессов, становлением гражданского общества в России роль локальных (местных) нормативно-правовых актов в сфере регулирования трудовых и тесно примыкающих к ним отношений, входящих в предмет трудового права, будет возрастать. Это объективный процесс, который вызван реальными потребностями жизнедеятельности каждой организации» Ведяшкин С.В. Локальные нормативные правовые акты и их роль в установлении внутреннего трудового распорядка организации. - - Томск, 2001..
Делопроизводство документов конфиденциального характера, в том числе и содержащих персональные данные работника, регламентируется не только текстовыми документами, но и схематическими, графическими актами. В качестве примеров можно назвать движение документации по личному составу в организации, схемы передачи кадровой документации в иные подразделения, структуры делопроизводственных подразделений организации.
Классификация локальных нормативных правовых актов, содержащих нормы об охране персональных данных работника, позволяет оценить их значение и роль в обеспечении права работников на неприкосновенность частной жизни.
Все внутренние (локальные) нормативные правовые акты могут быть общего и специального характера. Критерием в данном случае является круг лиц, на которых распространяется действие акта. Локальные нормативные правовые акты общего характера воздействуют на поведение всех или большинства работников организации, а под действие специальных актов попадают только определенные категории должностных лиц. К документам первого вида относятся коллективный договор, правила внутреннего трудового распорядка, положение о подразделении организации. Специальными локальными правовыми актами являются инструкция по делопроизводству, положение о защите информации, положение о персонале организации, положения о функциональных органах, должностные инструкции.
Одним из локальных нормативных правовых актов, в котором может устанавливаться порядок хранения и использования персональных данных, являются правила внутреннего трудового распорядка организации. Основываясь на требованиях ТК РФ, в разделе «Права и обязанности работников» уместно перечислить права и обязанности работников в этой области. Однако на практике такие примеры встречаются редко. В положения об отделениях и службах организации нормы о защите персональных данных работников обычно включаются разделы о целях и задачах деятельности функционального органа организации.
Существенное количество норм о защите персональных данных работника закреплено в локальных правовых актах организации, регламентирующих информационный оборот, В положениях, инструкциях о делопроизводстве, о порядке заключения договоров, о защите информации, о режиме конфиденциальности и др. регламентируются стадии получения (создания), передачи, хранения и уничтожения сведений. Эти акты регулируют отношения о передаче документированной информации внутри организации и за ее пределами.
Пункт 6 ст. 86 ТК РФ запрещает работодателю при принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Указанное ограничение касается создания персональных данных в электронном виде. Это требование связано с тем, что новые методы обработки информации, повышая уровень информированности общества и коэффициент полезности использования его информационных ресурсов, одновременно увеличивают степень уязвимости информации.
Ряд документов организации регулирует отношения исключительно в сфере использования информационных технологий. Как правило, в каждой организации утверждается самостоятельная, учитывающая ее специфику, делопроизводственная инструкция о работе с документами, содержащими сведения конфиденциального характера. На уровне организации принимаются документы о порядке доступа к локальной информационной сети, о защите критически важной информации, об использовании электронной почты, о правилах доступа к ресурсам Интернета и др.
Пункт 8 ст. 86 ТК РФ обязывает работодателя и его представителей при обработке персональных данных знакомить под расписку работников и их представителей с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях. Пункт 10 ст. 86 ТК РФ обязывает работодателей, работников и их представителей к совместной разработке мер защиты персональных данных. Часть 5 ст. 88 ТК РФ требует осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку. Эти законодательные положения в литературе трактуются по-разному.
Регламентация порядка передачи персональных данных должна быть закреплена в правилах внутреннего трудового распорядка, в положении о персонале, и работодатель должен нести соответствующую обязанность. Что касается разработки специализированного локального акта, то Л.В. Тихомирова считает, что ТК РФ закрепил возможность, а не обязанность работодателя по принятию соответствующего отдельного нормативного акта Тихомирова Л.В. Ibid..
Охрана персональных данных работника осуществляется не только в локальных нормативных актах. Значительная часть отношений по защите персональных данных регулируется в договорном порядке. Организации заключают договоры и соглашения о передаче персональных данных на законных основаниях третьим лицам (в отделения Пенсионного фонда РФ, военные комиссариаты, налоговые инспекции и др.), о защите передаваемой информации средствами криптографии и шифрования и др. Отдельные условия о защите конфиденциальной информации находят отражение в трудовых договорах.
Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:
О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в .
Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:
Важно! Все документы по защите и обработке ПД в обязательном порядке подлежат утверждению руководителя предприятия. На них должно стоять подтверждение ознакомления с документацией и визы согласования с иными лицами.
Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.
Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.
Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.
В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.
Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.
К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.
Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.
Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.
В акте указываются:
Оператор ПД должен выполнять сбор информации, ее обработку и отвечать за сохранение конфиденциальности данных.
Для начала обработки данных требуется следующее документальное оформление:
Внимание! Во избежание несанкционированного доступа к персональным сведениям, следует использовать ряд защитных мер, что включает в себя разработку комплекса специализированных организационно-распорядительных документов для внедрения в работу организации, которую проверяют соответствующие органы.
Итак, пакет документации по включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.
ЛОКАЛЬНЫЕ АКТЫ, РЕГЛАМЕНТИРУЮЩИЕ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Гультяева К.И.
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
«Тюменский государственный университет»
rok
_1212_92@
mail
.
ru
Для выполнения своих обязательств в рамках трудового, налогового и бухгалтерского законодательства работодатель должен использовать и оперировать персональными данными работника. Однако закон о персональных данных требует от работодателя, который в данном случае является «оператором персональных данных» и выполняет «обработку персональных данных» , обеспечить безопасность этой информации.
В соответствии с гл. 14 ТК РФ каждая организация обязана разработать и ввести в действие локальные нормативные акты, которые определяют порядок работы с персональными данными ее работников.
Такими локальными актами, как правило, являются:
Положение об обработке и защите персональных данных;
Приказ об утверждении обязательств о неразглашении персональных данных;
Перечень должностей, допущенных к персональным данным;
Приказ о назначении ответственных лиц за организацию обработки персональных данных;
Согласие на обработку персональных данных работника Оператора, иных субъектов персональных данных;
Для выполнения всех требований законодательства работодатель должен соблюсти ряд условий обработки персональных данных. Перед заключением трудового договора работник должен дать согласие на обработку персональных данных. В этом согласии должны быть указаны следующие сведения:
Согласно ст. 9 Закона №?152?ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Оно может быть дано работником (его представителем) в любой позволяющей подтвердить факт его получения форме (письменной, в форме электронного документа, подписанного в соответствии с Федеральным законом от 06.04.2011 №?63?ФЗ «Об электронной подписи» электронной подписью).
Положение о защите персональных данных работников. Этот документ регламентирует в рамках отдельной организации требования к получению, обработке персональных данных работника, установить гарантии их защиты, порядок хранения и использования, а также права работника по защите его персональных данных и ответственность работодателя за их охрану и защиту. Иными словами, организация на основе российского законодательства и с учетом особенностей кадрового учета создает и закрепляет нормативным актом порядок работы с персональными данными.
В Положении должны быть указаны:
Цель и задачи фирмы в области защиты персональных данных;
Понятие и состав персональных данных;
В каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
Как происходит сбор персональных данных;
Как они обрабатываются и используются;
Кто (по должностям) в пределах фирмы имеет к ним доступ;
Как персональные данные защищаются от несанкционированного доступа;
Права работника в целях обеспечения защиты своих персональных данных;
Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
При его разработке используют общие правила оформления организационных документов: в заголовочной части указываются наименование организации, дата и номер документа, в правом верхнем углу располагается гриф утверждения.
Положение об обработке и защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя.
В разделе «Общие положения» формулируется цель разработки персональных данных, даются ссылки на законодательные акты, на основании которых создан документ, определяется порядок введения положения в действие и порядок его пересмотра. Здесь же устанавливается конфиденциальность информации и ответственность должностных лиц организации за разглашение персональных данных.
Второй раздел, «Состав персональных данных работника», включает список данных работника, которые он сообщает работодателю при наступлении трудовых отношений, и сведений, возникающих в ходе этих отношений. Кроме того, здесь должна содержаться информация, необходимая организации для предоставления в военкоматы, органы налоговой службы, социального обеспечения, Пенсионного фонда. Раздел небольшой по объему, но принципиально важный для работников организации. Так, в него могут войти следующие сведения:
В разделе «Создание, обработка, хранение персональных данных», как правило, содержится информация о структурных подразделениях организации (или о должностных лицах), которые работают с персональными данными. Здесь же следует указать виды носителей (только традиционная бумажная форма, сочетание традиционной и электронной формы), на которых фиксируются персональные данные.
В четвертом разделе, «Доступ к персональным данным», устанавливается порядок пользования персональными данными каждым структурным подразделением организации. Оговаривается порядок доступа к ним должностных лиц и работника, к которому эти сведения относятся, третьих лиц по доверенности работника, порядок предоставления персональных данных другим организациям и гражданам. Например: «Персональные данные работников организации предоставляются в установленном порядке в органы Пенсионного фонда РФ, в органы социального обеспечения, контрольно-надзорным органам. Персональные данные работников организации предоставляются страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам при наличии копии договора с работником и его письменного согласия».
В разделе положения, «Защита персональных данных», перечисляются меры защиты информации от несанкционированного доступа и разглашения. Необходимо указать, в каких структурных подразделениях организации хранятся документы и электронные носители, содержащие персональные данные. Это может быть служба кадров, бухгалтерия, служба безопасности, отдел режима и т.д. Следует описать меры защиты данных, хранящихся в бумажной форме, – запирающиеся шкафы, сейфы, опечатанное помещение, пропускной режим и т.п., а также меры защиты сведений на электронных носителях.
В разделе «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников» прописывается ответственность лиц, нарушивших данный документ.
Положение о защите персональных данных подписывается руководителем кадровой службы. Документ может быть согласован с заинтересованными должностными лицами, например работниками бухгалтерии, юридической службы, службой безопасности и др. С ним следует ознакомить весь персонал организации под расписку.
Сотрудники, принимаемые на работу, знакомятся с положением о защите персональных данных точно так же, как и с другими локальными актами организации – коллективным договором, правилами внутреннего трудового распорядка, положением об оплате труда, должностной инструкцией и др. При этом в соответствии со ст. 68 ТК РФ такое ознакомление проводят под роспись и до подписания трудового договора.
Мерой защиты персональных данных является и обязательство должностных лиц организации о неразглашении персональных данных. (Приложение 4) В соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» работа с такими сведениями считается неавтоматизированной при непосредственном участии человека.
Следовательно, от всех сотрудников организации, имеющих отношение к получению, обработке, хранению персональных данных, должны быть получены расписки о неразглашении. Форма такой расписки может быть дана в приложении к документу. Сами расписки должны храниться в одном деле с подлинником положения. По мере смены должностных лиц эти обязательства должны обновляться.
Далее согласно ст. 6 Положения № 687 все работники работодателя, работающие с персональными данными, должны быть проинформированы о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки. Для реализации этой нормы права целесообразно заключить со всеми работниками соответствующий договор.
В этом документе, который может быть частью соответствующего трудового договора, должны быть указаны обязанности работников, их ответственность за нарушения режима конфиденциальности.
Можно сказать, что защита, хранение и обработка конфиденциальной информации (персональных данных) является трудоёмкой и для этого в организациях разрабатывается много важных документов.
Список использованных источников:
1. Герасимов Е.С. Трудовое право России: учебник для бакалавров / Е.С. Герасимов, Ю.П. Орловский.-М.:Изд. Юрайт, 2014. - 854 с.
2. Давыдова Е.В. Персональные данные работников / Е. В. Давыдова // Отдел кадров коммерческой организации. - 2015. - №3.
3. Соколова Г.А. Персональные данные работников / Г. А. Соколова // Кадровая служба и управление персоналом предприятия. - 2013. - №7.
4. Тихомирова Л. В. Защита персональных данных работника: учеб.-практ. пособие / Л.В. Тихомирова. - М.: 2013.
5. Как оформить Положение о защите персональных данных сотрудников [Электронный ресурс] / Справ. бухгалтера. - 2014. - http://www.buhgalteria.ru/article/n50559
При составлении локальных нормативных актов работодателям нередко приходится учитывать требования не только трудового законодательства, но и иных федеральных законов и нормативных правовых актов ().
За последний год было принято несколько актов, в том числе и судебных, которые могут напрямую повлиять на позицию проверяющих органов. Разберемся, наличие каких положений следует проверить в локальных актах и включить их туда в случае их отсутствия, чтобы избежать административной ответственности.
1 июля текущего года вступило в силу положение, согласно которому стали обязательны для применения работодателями, если это предусмотрено ТК РФ, законами и иными нормативными правовыми актами (). До этого они за некоторым исключением носили лишь рекомендательный характер – обязательными они были, например, для педагогических работников (ст. 46 Федерального закона от 29 декабря 2012 г. № 273-ФЗ " ").
Положения должностной инструкции, разработанной в соответствии с требованиями профстандарта, также можно использовать при подборе персонала. Обязанность непосредственного руководителя и/или отдела кадров указывать соответствующие требования к кандидатам при составлении бланка заявки может быть также прописана в Положении о найме, ротации и увольнении персонала.
ПОЛЕЗНЫЕ СЕРВИСЫ
Таким образом, при составлении отказа работодателю останется лишь сослаться на конкретную должностную инструкцию и указать те требования этого документа, которым соискатель не соответствует.
Однако стоит иметь в виду, что такое требование, как отсутствие у кандидата вредных привычек, считается дискриминационным, поскольку оно не относится к деловым качествам работника. К такому выводу в мае это года Тверской районный суд г. Москвы. Следовательно, наличие данного требования в должностной инструкции и/или Положении о найме, ротации и увольнении персонала также может быть признано дискриминацией.
Нужно ли работодателю проверять квалификацию уже работающих в организации сотрудников на соответствие профстандарту, если для данной категории специалистов он стал обязателен?
Кроме того, работодатель вправе провести аттестацию работников. Так, уточняет ведомство, при применении квалификационных справочников и профессиональных стандартов лица, не имеющие специальной подготовки или стажа работы, установленных в разделе "Требования к квалификации", но обладающие достаточным практическим опытом и выполняющие качественно и в полном объеме возложенные на них должностные обязанности, по рекомендации аттестационной комиссии назначаются на должности так же, как и лица, имеющие специальную подготовку и стаж работы.
Однако если работодатель считает, что работник не справляется со своими обязанностями, он может признать его по результатам аттестации не соответствующим занимаемой должности (). По общему правилу Положение об аттестации обязательным локальным нормативным актом не является, а значит, его отсутствие не повлечет за собой административную ответственность. Но если работодатель хочет проверить квалификацию своих работников и привести ее в последующем в соответствие определенным требованиям либо уволить не отвечающих этим требованиям сотрудников по , без такого Положения не обойтись. Исключения составляют только случаи, когда обязательная аттестация регламентирована законом или подзаконным нормативным правовым актом (например, Приказ Министерства образования и науки РФ от 7 апреля 2014 г. № 276 " ").
В Положении об аттестации могут быть перечислены все основания и условия, при которых сотрудника, не прошедшего аттестацию, "условно" допускают к работе – например, при последующем обучении за счет работодателя, повышении его квалификации и повторной переаттестации. Однако лучше избегать таких положений – оставьте только два основных вывода аттестационной комиссии: соответствует занимаемой должности и не соответствует занимаемой должности.
С 1 сентября 2015 года при сборе персональных данных операторы обязаны обеспечивать локализацию персональных данных россиян на серверах, расположенных на территории России (ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ " "; далее – закон о персональных данных). И работодатель, поскольку он является оператором, также обязан соблюдать указанное требование. Принимать новые локальные акты закон не требует, а вот коррективы в уже существующие следовало внести еще до сентября прошлого года.
Деятельность компании в части защиты персональных данных, как правило, регламентируют два документа: Политика обработки персональных данных и Положение о защите, хранении, обработке и передаче персональных данных работников.
Собственно, локальным нормативным актом является только Положение, которое распространяется на сотрудников организации. Однако в поле зрения компании часто попадают и персональные данные, которые касаются третьих лиц (контрагентов, клиентов, родственников сотрудников и др.). Порядок работы с этими данными как раз и фиксируется в Политике. "Политику о порядке обработки персональных данных мы должны сделать публичной (). Проще всего разместить ее на своем сайте. Но есть организации, у которых нет сайта – в этом случае, как правило, рядом с тем местом, где посетителям оформляются пропуска, вешают кармашек, в который вкладывается Политика на бумажном носителе. Любой человек сможет ее вынуть и изучить", – уточнила 5 июля на конференции, организованной "АСЭРГРУПП", к.ю.н., доцент кафедры трудового права Национального исследовательского университета "Высшая школа экономики", ведущий научный сотрудник отдела законодательства о труде и социальном обеспечении Института законодательства и сравнительного правоведения при Правительстве РФ Татьяна Коршунова . Соблюдение указанных требований может не только ГИТ, но и сотрудники Роскомнадзора.
И в Политике, и в Положении должно быть условие о том, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Кроме того, нужно указать место нахождения такой базы данных.
"Иногда спрашивают, нельзя ли совместить два эти документа в одном. Конечно, можно, но только локальные акты не предусмотрены для того, чтобы ими руководствовались третьи лица. Например, зачем знакомить с ним человека, который по доверенности получает товар? Это будет нелогично", – заключает Татьяна Коршунова.
В начале года Европейский суд по правам человека (ЕСПЧ) право работодателя контролировать переписку сотрудников в рабочее время . Суть спора состояла в том, что сотрудник, уволенный из компании за использование служебного аккаунта для личного общения, счел действия работодателя по чтению находящихся в мессенджере сообщений нарушением его права на тайну переписки. ЕСПЧ, однако, встал на сторону работодателя, отметив, что тот вправе знать, чем занимается его сотрудник в рабочее время, и контролировать деятельность работников по использованию Интернета только для осуществления профессиональной деятельности. Тем более, что использование корпоративного аккаунта в личных целях было прямо запрещено корпоративными правилами, и работник был предупрежден о возможных проверках.
Таким образом, Суд признал право работодателя проверять переписку сотрудников.
"Отслеживать содержание корпоративной почты, интернет-траффик, использование компьютера – законное право работодателя. Что и подтвердил ЕСПЧ в указанном выше решении", – порталу ГАРАНТ.РУ эксперт центра правового содействия законотворчеству "Общественная Дума" Сергей Слесарев .
Аналогичные выводы есть и в решении российских судов (Апелляционное определение Верховного суда Республики Башкортостан от 1 декабря 2015 г. по делу № 33-17852/2015, ).
С тем, чтобы исключить уголовную ответственность за и обезопасить себя от претензий со стороны сотрудников, желательно включить условие о проверке корпоративной переписки в Правила внутреннего трудового распорядка или иной локальный акт.
МНЕНИЕ
Татьяна Коршунова, к.ю.н., доцент кафедры трудового права Национального исследовательского университета "Высшая школа экономики", ведущий научный сотрудник отдела законодательства о труде и социальном обеспечении Института законодательства и сравнительного правоведения при Правительстве РФ:
"В Правилах внутреннего трудового распорядка или в специальном документе о пользовании корпоративной почтой работодатель должен зафиксировать, что корпоративная почта может использоваться исключительно для деловой переписки. Использование корпоративного почтового ящика для личных целей не допускается. Также следует указать, что работодатель имеет право в любой момент проверить корпоративную почту сотрудника.
Когда работник заранее знакомиться с данным локальным актом и ставит свою подпись, он дает работодателю свое согласие на это. Если ему не хочется, чтобы кто-то проверял его корпоративную почту, значит он просто ищет другую работу".
Складывающаяся судебная практика подтверждает законность проверки работодателем не только корпоративной электронной почты сотрудников, но и их активности в социальных сетях. Частое посещение сайтов, не имеющих прямого отношения к выполняемой работе, может быть признано нарушением трудовой дисциплины и в разных случаях послужить основанием для сокращения должности работника на 0,5 ставки, объявления выговора и даже для увольнения (апелляционное определение Новгородского областного суда от 6 июня 2012 г. по делу № 2-1935/12-33-823, апелляционное определение Рязанского областного суда от 11 февраля 2015 г. № 33-335, апелляционное определение Омского областного суда от 12 февраля 2014 г. по делу № 33-649/2014).
Обязанность использовать корпоративный компьютер исключительно в рабочих целях, а также право работодателя проверять соблюдение сотрудниками этой обязанности, также стоит закрепить в Правилах внутреннего трудового распорядка.
Подводя итог, можно отметить, что сфера трудовых отношений чувствительна к изменениям даже в областях, далеких от трудового законодательства. Учитывать ли все нововведения в локальных нормативных актах, каждый работодатель решает самостоятельно. Однако своевременная корректировка основных документов компании способна обезопасить от претензий со стороны проверяющих органов и, как следствие, от административной ответственности.
