Организация осуществляет сбор, обработку и защиту персональных данных своих сотрудников на бумажных носителях. Нужно ли составлять Положение о персональных данных? Если да, то какие установлены требования к его содержанию и каков порядок его оформления?

В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Согласно п. 1 части первой ст. 86 ТК РФ обработка персональных данных работника может осуществляться работодателем исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов (ст. 87 ТК РФ).

В соответствии с пп. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Работодатель должен осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись (ст. 88 ТК РФ).

Из приведенных норм следует, что работодатель обязан принять локальный нормативный акт, регулирующий порядок обработки персональных данных работника, и ознакомить с ним под роспись каждого работника. Отсутствие такого акта может быть расценено как нарушение трудового законодательства (смотрите, например, постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06).

Трудовое законодательство не регламентирует вопрос о том, в каком именно документе должен устанавливаться порядок хранения и использования персональных данных. На наш взгляд, работодатель должен самостоятельно определить, будет ли такой порядок установлен в отдельном локальном нормативном акте (например в положении об обработке персональных данных*(1)), или же соответствующие нормы будут включены в иной внутренний документ организации (например в положение о персонале). Также законодательством не установлены требования и к содержанию такого документа.

Принятие локальных нормативных актов и внесение в них изменений осуществляются работодателем единолично, за исключением случаев, когда коллективным договором, соглашением предусмотрено принятие их по согласованию с представительным органом работников (ст. 8 ТК РФ).

Также следует иметь в виду, что в некоторых случаях, установленных законодательством РФ, коллективным договором, соглашением, процедура принятия или изменения локального нормативного акта может предусматривать предварительное истребование мнения представительного органа работников (при наличии такого представительного органа). Отметим, что в отношении локального нормативного акта, определяющего порядок обработки персональных данных работников и их права и обязанности в этой области, такого требования законодательством не установлено.

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

кандидат юридических наук Широков Сергей

Ответ прошел контроль качества

7 апреля 2014 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

*(1) В качестве образца такого акта смотрите Примерную форму Положения о работе с персональными данными работника, разработанную компанией "Гарант", август 2012 г.