Является ли ваша организация оператором персональных данных? Организация работы с персональными данными
В любой организации собирают, хранят и каким-либо образом используют личную информацию своих сотрудников. Поэтому одной из первостепенных задач сегодняшнего дня в каждой организации является регламентация работы с персональными данными. Персональные данные относятся к конфиденциальной информации. Именно с них начинается Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 06.03.1997 N 188. Работе с персональными данными отведена гл. 14 Трудового кодекса Российской Федерации – «Защита персональных данных работника», в которой дано определение персональных данных работника как «...информации, необходимой работодателю в связи с трудовыми отношениями и касающейся конкретного работника». Информация о работнике, необходимая работодателю, может требоваться в различном объеме в зависимости от специфики организации. Обработка персональных данных может проводиться только с согласия работников. Выполнение требований Закона и Постановлений Правительства обязательно как для организаций, применяющих информационные системы при обработке персональных данных, так и для организаций, еще ведущих работу с документами на бумажных носителях. Для организации работы с документами, содержащими персональные данные, необходимо провести ряд мероприятий, закрепив их в документах. Во-первых, если организация крупная и приходится обрабатывать большое количество данных, следует приказом руководителя назначить лицо или подразделение, ответственные за работу с персональными данными и обеспечение их защиты, и наделить их соответствующими полномочиями. Во-вторых, надо уточнить перечень персональных данных, необходимых для данной организации. Трудоемкость защиты персональных данных напрямую зависит от степени важности обработки сведений. Надо уточнить, какие данные не являются необходимыми для организации, и максимально исключить их из собираемых и, следовательно, обрабатываемых. В-третьих – подготовить список лиц, допущенных к работе с персональными данными. Список может иметь табличную форму.
| Должность | Фамилия, имя, отчество | Основания для доступа |
|
| Наименование организации |
||
| от 00.00.0000 N 000 |
||
| О назначении ответственного за защиту персональных данных |
||
| В целях обеспечения выполнения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" | ||
| ПРИКАЗЫВАЮ: | ||
| 1. Назначить ответственным за реализацию мер, предусмотренных законодательными и нормативными правовыми актами по защите персональных данных (Ф.И.О. или отдел). | ||
| 2. Внести дополнения в должностные инструкции работников, обрабатывающих персональные данные. | ||
| 3. Утвердить список лиц, имеющих доступ к персональным данным (прилагается). | ||
| Директор | ||
Основным документом должно стать в каждой организации положение о работе с персональными данными. Положения, уже разработанные в организациях, называются обычно или «О защите персональных данных работника», или «Об организации работы с персональными данными работника». Положение должно охватывать требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите. Текст положения может делиться на разделы, но может состоять только из пунктов. Все положения начинаются с общих положений, в которых, прежде всего, указываются цель, назначение положения. Например, «в положении о работе с персональными данными работника определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работника организации (далее приводится название организации)». Затем обязательным в положении должна быть ссылка на законодательные и нормативно-правовые акты, в соответствии с которыми положение разработано: Конституция РФ, Трудовой кодекс РФ (гл. 14), Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации", Постановление Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах передачи данных", Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Указываются соответствующие нормативно-правовые акты субъекта Федерации, на территории которого находится организация, и перечисляются, если они есть, нормативно-правовые акты ведомства, которому она подчинена, и документы своей организации. В большинстве уже имеющихся положений отдельным пунктом или разделом даются основные понятия, используемые в положении. Все определения берутся, как правило, из Федерального закона "О персональных данных". Специальным пунктом должно быть указано, что относится к персональным данным конкретно вашей организации, т.е. состав персональных данных, используемых в работе. В положении о персональных данных конкретной организации перечисление сведений о работнике, указанное в Федеральном законе "О персональных данных", дополняется и вносится в положение о работе с персональными данными с учетом особенностей деятельности данной организации. Например, сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, работой с детьми, в общепите, о заработной плате и т.д. Желательно в положении специальным пунктом сразу отнести к персональным данным все сведения, содержащиеся в документах, заполняемых работником при поступлении на работу, и документах, оформляемых в процессе трудовой деятельности: личном заявлении, анкете, приказах по личному составу, личной карточке, личном деле, трудовом договоре (контракте), дополнительном соглашении, трудовой книжке, материалах аттестационных комиссий, отчетах, аналитических и справочных материалах, передаваемых в государственные органы статистики, налоговые инспекции, головную организацию и другие учреждения. В разделе "Сбор и обработка персональных данных" обязательно есть пункт, в котором указывается, что персональные данные получаются и обрабатываются на основании письменного согласия работника на обработку его персональных данных. Обычно оно оформляется в форме заявления, в котором дается согласие на использование сведений (содержащих фамилию, имя, отчество; вид и номер основного документа, удостоверяющего личность; сведения о дате выдачи указанного документа и выдавшем его органе; адрес субъекта персональных данных, наименование и адрес организации, получающей согласие субъекта персональных данных; цель обработки персональных данных; перечень действий с персональными данными, на обработку которых дается согласие; общее описание используемых в организации способов обработки персональных данных; срок, в течение которого действует согласие и порядок его отзыва). Можно в организации составить трафаретный текст такого заявления. Отдельным пунктом положения о персональных данных обязательно перечисляется, в каких случаях не требуется согласия работника на обработку его персональных данных. В положении оговариваются также порядок передачи персональных данных, способ их хранения и защиты. П
ерсональные данные сегодня почти повсеместно хранятся как на бумажных, так и на электронных носителях. Независимо от носителя они подлежат защите как конфиденциальная информация с ограниченным доступом (на бумажных носителях – в закрытых шкафах и сейфах, на электронных – при помощи встроенных механизмов безопасности, используемого программного обеспечения и дополнительных аппаратно-программных средств). В разделе «Доступ к персональным данным» оговаривается порядок доступа к ним работника организации, третьих лиц по доверенности работника, других организаций. Например, в установленном порядке данные передаются в органы Пенсионного фонда, органы социального обеспечения, контрольно-надзорным и правоохранительным органам. С письменного согласия работника его персональные данные могут быть представлены родственникам и членам семьи работника, а страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам персональные данные предоставляются при наличии не только письменного согласия работника, но и копии договора этих организаций с работником. Как приложение или отдельным пунктом в положении перечисляются должностные лица организации, имеющие право доступа к персональным данным, например директор, аппарат дирекции, сотрудники бухгалтерии, сотрудники управления безопасности и режима, сотрудники службы кадров, руководители подразделения, в подчинении которых находится работник, и т.д. Заканчивается положение разделом об ответственности за нарушение норм, регулирующих обработку персональных данных. Положение о работе с персональными данными является локальным нормативным актом организации, обязательным для исполнения всеми работниками, оно утверждается руководителем организации или приказом. Обычно положение о работе с персональными данными разрабатывается руководителем службы кадров совместно с руководителем IT-службы, обеспечивающей защиту персональных данных в электронной форме. "Трудовое право", 2011, N 5
Статья 1 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» устанавливает, что персональные данные - это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). Оператором может быть в том числе юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
организующее и (или) осуществляющее обработку персональных данных;
определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Статья 85 ТК РФ говорит о том, что персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Согласно статье 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования.
Требование № 1: обработка персональных данных работника может осуществляться исключительно в целях обеспе-чения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Требование № 2: при определении объёма и содержания обрабатываемых персональных данных работника рабо-тодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
Требование № 3: все персональные данные работника следует получать у него самого. Если персональные данные ра-ботника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источ-никах и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Требование № 4: работодатель не имеет права получать и обрабатывать персональные данные работника о его по-литических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Требование № 5: работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.
Требование № 6: при принятии решений, затрагивающих интересы работника, работодатель не имеет права ос-новываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Требование № 7: защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном ТК РФ и иными федеральными законами.
Требование № 8: работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Работники не должны отказываться от своих прав на сохранение и защиту тайны.
Статья 88 ТК РФ устанавливает следующие требования при передаче персональных данных работника:
запрещено сообщать персональные данные работника третьей стороне без письменного согласия работника. Исключе-ние составляют случаи, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в дру-гих случаях, предусмотренных ТК РФ или иными федеральными законами;
запрещено сообщать персональные данные работника в коммерческих целях без его письменного согласия;
следует предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть ис-пользованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (кон-фиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
передача персональных данных работника осуществляется в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
доступ к персональным данным работников разрешается лишь специально уполномоченным лицам. Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Таким образом, доступ к персональным данным работников может быть разрешён только специально уполномоченным лицам, которые к тому же имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
В частности, следует разработать ряд локальных документов, которые регулируют работу с получаемыми персональны-ми данными и ответственность лиц, их получающих. Например:
положение о персональных данных;
приказы об утверждении списков лиц, имеющих доступ к персональным данным работников;
обязательства о неразглашении персональных данных лицами, имеющими доступ к персональным данным;
порядок хранения персональных данных.
Работники, которые получают доступ к персональным данным для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под роспись.
Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должност-ной инструкции каждого сотрудника, получившего доступ к персональных данным для выполнения своих служебных обязанностей.
В идеале сотрудники, осуществляющие операции с персональными данными, должны находиться отдельно от других сотрудников. В любом случае их рабочие места (или место) должны быть оборудованы сейфами для хранения соответствующих документов.
Приведём несколько примеров соответствующих документов.
Образец приказа о назначении ответственного за организацию обработки персональных данных:
Общество с ограниченной ответственностью «Работодатель»
Приказ от 20.03.13 № 55
Во исполнение положений Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
Назначить ответственным за организацию обработки персональных данных в организации начальника отдела персонала (Ф. И. О.). Дата, подпись.
Образец положения о персональных данных:
Во исполнение требований главы 14 ТК РФ, Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», а также в целях приведения локальных нормативных актов ООО «Работодатель» в соответствие с действующим законодательством РФ
ПРИКАЗЫВАЮ:
1. Ввести в действие с 20.05.13 Положение о персональных данных работников ООО «Работодатель» (далее - Положение).
2. Начальнику отдела персонала (Ф. И.О.) в срок до 29.05.13 довести Положение до сведения всех сотрудников организации под
роспись.
3. В срок до 03.06.13 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО «Работодатель» (по форме Приложения № 1 к Положению).
4. Местом хранения Положения определить кабинет отдела персонала.
5. Контроль исполнения данного приказа оставляю за (должность, Ф. И. О.).
Должность, дата, подпись
С приказом ознакомлены: Должность, подпись, расшифровка
Общество с ограниченной ответственностью «Работодатель» (ООО «Работодатель»)
УТВЕРЖДАЮ
Генеральный директор ООО «Работодатель»
ПОЛОЖЕНИЕ
о персональных данных работников ООО «Работодатель»
1. Общие положения
1.1. Положение о персональных данных работников ООО «Работодатель» (далее - Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.06 № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами.
1.2. Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО «Работодатель» (далее - Общество).
1.3. Персональные данные работника - любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).
1.4. При определении объёма и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
2. Получение персональных данных
2.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлён об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
2.2. При поступлении на работу претендент заполняет анкету, в которой указывает следующие сведения о себе:
Ф.И.О.;
- пол;
- дату рождения;
- семейное положение;
- наличие детей, их даты рождения;
- воинскую обязанность;
- место жительства и контактный телефон;
- образование, специальность;
- стаж работы по специальности;
- предыдущее(ие) место(а) работы;
- факт прохождения курсов повышения квалификации;
- наличие грамот, благодарностей.
2.3. Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.
2.4. При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со статьёй 65 ТК РФ.
2.5. Работодатель имеет право проверять достоверность сведений, предоставляемых работником. По мере необходимости работодатель может истребовать у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.
2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму № Т-2 «Личная карточка работника» и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел (должность).
2.7. Личное дело работника состоит из следующих документов:
Трудовой договор;
- личная карточка формы № Т-2;
- копия трудовой книжки;
- характеристики, рекомендательные письма;
- паспорт (копия);
- документ об образовании (копия);
- военный билет (копия);
- свидетельство о регистрации в налоговом органе (ИНН) (копия);
- пенсионное свидетельство (копия);
- свидетельство о заключении брака (копия);
- свидетельство о рождении детей (копия);
- копия документа о праве на льготы (удостоверение почётного донора, медицинское заключение о признании лица инвалидом, др.);
- результаты медицинского обследования (в случаях, установленных законодательством);
- документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).
2.8. Документы, поступающие в личное дело, хранятся в хронологическом порядке.
3. Хранение персональных данных
3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам. Личные дела находятся
в отделе кадров в специально отведённом шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфа-
витном порядке.
3.2. Личные дела регистрируются в журнале учёта личных дел, который ведётся в электронном виде и на бумажном носителе.
3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.
3.4. В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:
Трудовые книжки;
- подлинники и копии приказов (распоряжений) по кадрам;
- приказы по личному составу;
- материалы аттестаций и повышения квалификаций работников;
- материалы внутренних расследований (акты, докладные, протоколы и др.);
- копии отчётов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- другие.
3.5. Персональные данные работников также хранятся в электронном виде в локальной компьютерной сети. Доступ к электронным
базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей. Пароли устанавлива-
ет системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным
работников. Пароли изменяются не реже одного раза в два месяца.
3.6. Кабинет отдела кадров оборудуется (указать, чем, например охранной системой и камерой видеонаблюдения).
3.7. Заместитель генерального директора - директор по персоналу осуществляет общий контроль соблюдения работниками мер по
защите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числе
с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.
4. Доступ к персональным данным
4.1. Доступ к персональным данным работников имеют:
- учредители Общества;
- генеральный директор;
- заместитель генерального директора;
- финансовый директор;
- директор по персоналу;
- главный бухгалтер;
- юрист;
- начальник отдела безопасности;
- руководители структурных подразделений (только к данным работников своего подразделения);
- специалисты отдела по работе с персоналом и бухгалтерии - к тем данным, которые необходимы им для выполнения конкретных функций.
4.2. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.
4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.
5. Обработка персональных данных работников
5.1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (п. 1 ст. 10 закона № 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.2. Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
5.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нём исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счёт его средств в порядке, установленном федеральным законом.
5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
5.7. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных.
6. Права и обязанности работника в области защиты его персональных данных
6.1. Работник обязуется предоставлять персональные данные, соответствующие действительности.
6.2. Работник имеет право на:
Полную информацию о своих персональных данных и обработке этих данных;
- свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Передача персональных данных
7.1. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
7.2. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.
7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении таких данных.
7.4. Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.
7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
8. Ответственность
8.1. Разглашение персональных данных работника Общества, то есть:
- передача посторонним лицам, не имеющим к ним доступа;
- публичное раскрытие;
- утрата документов и иных носителей, содержащих персональные данные работника;
- иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, -
лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания (выговора, увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ).
8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несёт полную материальную ответственность в соответствии с пунктом 7 части 1 статьи 243 ТК РФ.
8.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несёт уголовную ответственность на основании статьи 188 УК РФ.
8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несёт административную ответственность по статьям 5.27, 5.39 КоАП РФ, а также возмещает работнику ущерб, причинённый неправомерным использованием информации, содержащей персональные данные об этом работнике.
С этим Положением следует ознакомить всех сотрудников организации. При приёме на работу нового сотрудника его надо ознакомить с данным документом до подписания трудового договора (ст. 68 ТК РФ). Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.
Образец обязательства о неразглашении персональных данных:
Обязательство о неразглашении персональных данных работников ООО «Работодатель»
Я, (Ф. И. О., должность), с Положением о персональных данных работников ООО «Работодатель» ознакомлен(а). Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей. Об ответственности за разглашение персональных сведений работников предупреждён(а).
Дата, подпись
Если возникает необходимость передачи персональных данных третьим лицам, необходимо получить согласие по следующей форме:
Генеральному директору ООО «Работодатель»
от (Ф. И. О.),
зарегистрированного по адресу (указать), паспорт (серия, номер, кем и когда выдан)
Согласие на передачу персональных данных третьей стороне
Я, (Ф. И. О.), в соответствии с абзацем 1 части 1 статьи 88 ТК РФ настоящим даю согласие ООО «Работодатель» на предоставление в (указать, куда) следующих моих персональных данных:
- Ф. И. О., дата рождения;
- номер свидетельства государственного пенсионного страхования;
- размер заработной платы;
- размер начисленных и уплаченных страховых взносов.
Настоящее Согласие действительно в течение одного года с момента его получения. Дата, подпись
ВАЖНО:
Под обработкой персональных данных понимается любое действие (операция) или их совокупность, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в силу статьи 90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 13.11 КоАП РФ, 137 УК РФ).
Представляется необходимым утверждение специальной системы доступа работников отдела кадров, а также руководящего состава к персональным данным.
Также стоит предусмотреть в локальных актах персональную ответственность таких лиц за сохранение конфиденциальности персональных данных.
Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.
После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора и др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.
Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.
Николай СОЛИЧЕНКО, эксперт ООО "Smart Solution"
Организация работы с персональными данными
С конца лета
Закон
о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно - дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.
Что такое персональные данные
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных) . Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.
Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:
Фамилия, имя, отчество;
Дата и место рождения;
Пол;
Адрес;
Семейное положение;
Должность (профессия);
Зарплата, другие доходы;
Владение недвижимым имуществом, денежные вклады и др.;
Образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
Привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
Факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
Физиологические особенности, здоровье;
Деловые и иные личные качества;
Другие сведения.
Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.
Таблица 1. Документы, в которых содержатся персональные данные работников
| N | Документ | Сведения |
| 1 | Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) | Анкетные и биографические данные работника |
| 2 | Копия документа, удостоверяющего личность работника | Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи |
| 3 | Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) | Ф.И.О. работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность |
| 4 | Трудовая книжка | Сведения о трудовом стаже, предыдущих местах работы |
| 5 | Копии свидетельств о заключении брака, рождении детей | Состав семьи, изменения в семейном положении |
| 6 | Документы воинского учета | Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников |
| 7 | Справка о доходах с предыдущего места работы | Ф.И.О., данные о сумме дохода и удержанного НДФЛ |
| 8 | Документы об образовании | Подтверждают квалификацию работника, обосновывают занятие определенной должности |
| 9 | Документы обязательного пенсионного страхования | Ф.И.О., личные данные |
| 10 | Трудовой договор | Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника |
| 11 | Приказы по личному составу | Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника |
Оператор по обработке персональных данных
Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.
Обработка персональных данных - любое совершаемое с ними действие. Операции по обработке персональных данных:
Сбор;
Запись;
Систематизация;
Накопление;
Хранение;
Уточнение (обновление, изменение);
Извлечение;
Использование;
Передача (распространение, предоставление, доступ);
Обезличивание;
Блокирование;
Удаление;
Уничтожение персональных данных.
Положение о работе с персональными данными
Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее - Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.
Таблица 2. Структура Положения о персональных данных работников
| N | Обязанность | Содержание раздела |
| 1 | Общие положения | Цель принятия Положения |
| Вопросы, которые регулирует Положение | ||
| Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: - Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации"; - Указ Президента РФ от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"; - нормативные акты субъекта РФ |
||
| 2 | Основные понятия. Состав персональных данных работников | Основные понятия. Даются определения понятий "персональные данные", "обработка персональных данных", "использование персональных данных", указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.) |
| Перечень документов организации, которые содержат персональные данные |
||
| 3 | Получение персональных данных работников | Процедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно |
| 4 | Использование персональных данных | Цели использования личной информации сотрудников |
| 5 | Обработка персональных данных | Условия, соблюдаемые при обработке персональных данных работника |
| 6 | Передача персональных данных (доступ к персональным данным) | Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицам и государственным органам (внешний доступ) |
| 7 | Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных | Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных |
Фрагмент Положения о персональных данных работников
Общество с ограниченной ответственностью
"Черный лес"
Утверждаю
Генеральный директор
Куропаткин
Куропаткин Е.С.
г. Москва 1 августа 2011 г.
Положение о персональных данных работников
1. Общие положения
1.1. Положение о персональных данных работников ООО "Черный лес" (далее - Компания) разработано в соответствии:
С Конституцией РФ;
Гл. 14 Трудового кодекса;
Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";
Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации";
Постановлением Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах передачи данных";
Постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
1.2. Настоящим Положением определяется порядок работы (сбора, обработки, использования, хранения и т.д.) с персональными данными работников Компании. Под работниками подразумеваются лица, заключившие трудовой договор с Компанией. Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
1.3. Цель настоящего Положения - упорядочение обращения с персональными данными и обеспечение соблюдения законных прав и интересов Компании и ее работников в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.
1.4. Настоящее Положение вступает в силу с 1 июля 2011 г.
1.5. Настоящее Положение и изменения к нему утверждаются руководителем предприятия и вводятся приказом по предприятию.
1.6. Все работники предприятия должны быть ознакомлены под роспись с данным Положением и изменениями к нему.
2. Основные понятия
2.1. Для целей настоящего Положения используются следующие основные понятия:
- персональные данные - любая информация, относящаяся к данному работнику (субъекту персональных данных) и необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность;
- обработка персональных данных работника - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
- конфиденциальность персональных данных - обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;
- распространение персональным данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или представление доступа к персональным данным работников каким-либо иным способом;
- использование персональных данных - действия (операции) с персональными данными, совершаемые уполномоченным должностным лицом Компании в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
- информация - сведения (сообщения, данные) независимо от формы их представления;
- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. Состав персональных данных работника:
Фамилия, имя, отчество работника;
Дата и место рождения работника;
Паспортные данные;
Адрес проживания (регистрации) работника;
Домашний телефон;
Семейное, социальное, имущественное положение работника;
Образование;
Профессия, специальность, занимаемая должность работника;
Доходы, имущество и имущественные обязательства работника;
Автобиография;
Сведения о трудовом и общем стаже;
Сведения о предыдущем месте работы;
Сведения о воинском учете;
Сведения о заработной плате сотрудника;
Сведения о социальных льготах;
Размер заработной платы;
Наличие судимостей;
Результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
Принадлежность лица к конкретной нации, этнической группе, расе;
Привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.):
Религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзе, и др.);
Финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
Деловые и иные личные качества, которые носят оценочный характер;
Прочие сведения, которые могут идентифицировать человека.
Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.
2.3. Документы, в которых содержатся персональные данные работников:
Паспорт работника (иной документ, удостоверяющий личность);
Анкеты;
Заявления;
Трудовая книжка;
Подлинники и копии приказов по личному составу;
Страховое свидетельство государственного пенсионного страхования;
Свидетельство о присвоении ИНН;
Личные дела, карточки, трудовые книжки сотрудников;
Основания к приказам по личному составу;
Дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
Трудовые и коллективные договоры;
Копии отчетов, направляемые в органы статистики;
Копии документов об образовании;
Материалы аттестационных комиссий;
Отчеты, аналитические и справочные материалы, передаваемые в государственные органы статистики, налоговые инспекции, другие учреждения, головную организацию;
Документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
Другие подобные документы.
Данные документы являются конфиденциальными (составляющими охраняемую законом тайну).
Режим конфиденциальности в отношении персональных данных снимается:
В случае их обезличивания;
По истечении 75 лет срока их хранения;
В других случаях, предусмотренных федеральными законами.
3. Обработка персональных данных работников
3.1. Источником информации обо всех персональных данных работника является непосредственно работник.
Если персональные данные возможно получить только у третьей стороны, работник заранее в письменной форме уведомляется об этом и дает письменное согласие.
Работодатель обязуется сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.3. Обработка персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:
Персональные данные являются общедоступными;
Персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
По требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
3.4. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.
3.5. Форма письменного согласия утверждается генеральным директором Компании.
3.6. Согласие работника на обработку персональных данных не требуется в следующих случаях:
Обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;
Обработка персональных данных в целях исполнения трудового договора;
Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
3.7. Работник Компании обязан представить достоверные сведения о себе. Отдел кадров Компании проверяет достоверность сведений.
3.8. В соответствии со ст. 86 Трудового кодекса РФ в целях обеспечения прав и свобод человека и гражданина руководитель Компании и его законные, полномочные представители при обработке персональных данных работника выполняют следующие общие требования:
3.8.1. Обработка персональных осуществляется исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.8.2. При определении объема и содержания обрабатываемых персональных данных работодатель руководствуется Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
3.8.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
3.8.4. Защита персональных данных работника от неправомерного использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.
3.8.5. Работники в обязательном порядке ознакомляются под роспись с документами Компании, устанавливающими порядок обработки данных, а также об их правах и обязанностях в этой области.
4. Передача персональных данных работника третьей стороне
4.1. При передаче персональных данных работника работодатель соблюдает следующие требования:
4.1.1. Персональные данные работника не сообщаются третьей стороне без письменного согласия работника, за исключением случаев, когда это сообщение необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
4.1.2. Персональные данные работника не сообщаются в коммерческих целях без его письменного согласия.
Обработка персональных данных работников а целях продвижения товаров, работ, услуг на рынке допускается только с его предварительного согласия.
4.1.3. Работодатель предупреждает лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц подтверждения того, что это правило соблюдено.
Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).
4.1.4. Работодатель разрешает доступ к персональным данным работников только специально уполномоченным лицам.
При этом лица, получившие персональные данные работника, имеют право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.1.5. Работодатель не запрашивает информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции, предусмотренной трудовым договором.
4.1.6. Работодатель передает персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4.2. Персональные данные хранятся в отделе кадров.
4.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
4.4. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
Наименование и адрес оператора или его представителя;
Цель обработки персональных данных и ее правовое основание;
Предполагаемые пользователи персональных данных;
Установленные законами права субъекта персональных данных.
5. Доступ к персональным данным работников
5.1. Право доступа к персональным данным работников имеют:
Руководитель Компании;
Работники отдела кадров;
Работники бухгалтерии;
Начальник отдела экономической безопасности (информация о фактическом месте проживания и номере телефона работника);
Работники секретариата (информация о фактическом месте проживания и номере телефона работника);
Начальник отдела внутреннего контроля (доступ к персональным данным работников в ходе плановых проверок);
Руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения).
5.2. Работник Компании имеет право:
5.2.1. Получать доступ к своим персональным данным и возможность ознакомления с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
5.2.2. Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.
5.2.3. Получать от работодателя;
Сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
Перечень обрабатываемых персональных данных и источник их получения;
Сроки обработки персональных данных, в том числе сроки их хранения;
Сведения о том, какие юридические последствия может повлечь за собой обработка его персональных данных.
5.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.2.5. Обжаловать неправомерные действия или бездействие работодателя при обработке и защите персональных данных.
5.3. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.
5.4. Передача информации третьей стороне возможна только при письменном согласии работников.
6. Ответственность
<...>
Введение Положения в действие
Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.
Если есть профсоюз
Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый - согласиться. Второй - в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.
Ознакомление работников с Положением
Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:
В тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
Листе ознакомления с Положением (образец на с. 91);
Журнале ознакомления работников с локальными нормативными актами (образец на с. 91).
Образец листа ознакомления с локальными нормативными актами
| N п/п | Наименование локального нормативного акта | Дата | Подпись |
| 1 | Правила внутреннего трудового распорядка ООО "Черный лес" | 03.10.2011 | Евстахов |
| 2 | Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО "Черный лес" | 03.10.2011 | Евстахов |
| 3 | Инструкция по информационной безопасности, утвержденная Приказом от 15.06.2008 N 1 | 03.10.2011 | Евстахов |
| 4 | Положение о персональных данных | 03.10.2011 | Евстахов |
| 5 | Положение о материальной ответственности работников за ущерб, причиненный ООО "Черный лес" | 03.10.2011 | Евстахов |
Фрагмент журнала ознакомления с Положением о персональных данных
| N п/п | Ф.И.О. работника | Дата ознакомления | Подпись |
| 1 | Алексеева Диана Николаевна | 15.08.2011 | Алексеева |
| 2 | ... | ... | ... |
| 6 | Евстахов Сергей Сергеевич | 03.10.2011 | Евстахов |
| 7 | ... | ... | ... |
| 8 | ... | ... | ... |
| 9 | ... | ... | ... |
Примечание. Срок хранения персональных данных
Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне , утвержденном Приказом Минкультуры России от 25.08.2010 N 558.
Административная ответственность
Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.
Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников
| Нарушение | Ответственность | Норма законодательства |
| Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) | Для должностных лиц: от 500 до 1000 руб.; для юридических лиц: от 5000 до 10 000 руб. | Статья 13.11 КоАП РФ |
| Разглашение информации, доступ к которой ограничен (персональных данных), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей | Для должностных лиц: от 4000 до 5000 руб. | Статья 13.14 КоАП РФ |
Ответственный за организацию работы с персональными данными работников
Ответственного за сбор, обработку, хранение персональных данных работников назначает руководитель организации. Для этого следует издать приказ (образец которого приведен на с. 92).
Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя.
Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:
Начальника отдела кадров;
- (старшего) инспектора по кадрам;
Директора по персоналу;
Заместителя начальника отдела (директора по персоналу);
Специалиста по работе с персоналом.
Может быть введена и новая должность.
Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?
Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных .
ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.
Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Защита персональный данных в организации.
Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.
Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.
Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.
ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Административная ответственность за разглашение персональных данных.
С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.
Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.
Организация защиты персональный данных в организации.
Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.
| 1. | Уведомление об обработке персональных данных.
Основание: ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. |
| 2. | Изменения в уведомление об обработке персональных данных.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22. Уведомление об обработке персональных данных. ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. Статья 25. Заключительные положения. ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года. |
| 3. | Приказ Об организации обработки персональных данных. |
| 4. | Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. |
| 5. | Согласие субъекта персональных данных на обработку его персональных данных.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. |
| 6. | Согласие в письменной форме субъекта персональных данных на обработку его персональных данных.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. |
| 7 | Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 18. Обязанности оператора при сборе персональных данных. ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных. |
| 8. | Документы, определяющие политику оператора в отношении обработки персональных данных.
Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом. ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. |
| 9. | Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 19. Меры по обеспечению безопасности персональных данных при их обработке. ч. 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. |
| 10. | Документы по организации приема и обработке обращений и запросов субъектов персональных данных.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях. ч. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: п. 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. |
| 11. | Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.
Основание: п. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки. |
| 12. | Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки с использованием средств автоматизации.
Основание: Постановление от 1 ноября 2012 г. N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. п. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных». Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. |
| 13. | Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Основание: Приказ ФСТЭК от 18 февраля 2013 года № 21. 1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. |
| 14. | Документы о классификации информационных систем.
Основание: Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. П. 8 При обработке персональных данных в информационных системах устанавливают 4 уровня защищенности персональных данных. |
| 15. | Типовые формы документов.
Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться определенные условия. |
| 16. | Документ, устанавливающий требования к ведению журналов (реестров, книг …), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию.
Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться определенные условия. |
| 17. | Документы, устанавливающие требования к хранению материальных носителей содержащих персональные данные.
Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором. |
| 18. | Документы, по обеспечению безопасности персональных данных с использованием СКЗИ.
Основание: Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». П. 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система) с использованием средств криптографической защиты информации (далее — СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности. |
| 19. | Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом. |
| 20. | Документы, устанавливающие порядок обработки персональных данных работников.
Основание: ТРУДОВОЙ КОДЕКС РФ от 30 декабря 2001 года № 197-ФЗ. Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты: п. 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Статья 87. Хранение и использование персональных данных работников; Статья 88. Передача персональных данных работников. |
| 21. | Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ.
Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1). |
Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.
Приказ МВД РФ от 6 июля 2012 г. N 678
«Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»
П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.
Примерный перечень документов по защите персональных данных.
| №
п / п |
Наименование документа | № документа, дата |
| 1. | Акт определения уровня защищенности ИСПДн «Сотрудники». | |
| 2. | Акт определения уровня защищенности ИСПДн «Клиенты». | |
| 3. | Акт определения уровня защищенности ИСПДн «……». | |
| 4. | Акт о выделении к уничтожению документов, неподлежащих хранению. | |
| 5. | Акт проведения работ на ПЭВМ, входящих в состав информационной системы персональных данных. | |
| 6. | Акты уничтожения персональных данных. | |
| 7. | Описание информационной системы персональных данных «Сотрудники». | |
| 8. | Описание информационной системы персональных данных «Клиенты». | |
| 9. | Описание информационной системы персональных данных «…..». | |
| 10. | Модель угроз безопасности персональных данных при их обработке в ИСПДн «Сотрудники». | |
| 11. | Модель угроз безопасности персональных данных при их обработке в ИСПДн «Клиенты». | |
| 12. | Модель угроз безопасности персональных данных при их обработке в ИСПДн «…..». | |
| 13. | Инструкция по резервному копированию и восстановлению персональных данных, обрабатываемых в информационных системах персональных данных. | |
| 14. | Инструкция пользователя информационной системы персональных данных. | |
| 15. | Инструкция об организации антивирусной защиты. | |
| 16. | Инструкция администратора безопасности информационной системы персональных данных. | |
| 17. | Инструкция администратора информационной системы персональных данных. | |
| 18. | Инструкция пользователя при обработке персональных данных без средств автоматизации. | |
| 19. | Инструкция по эксплуатации машинных носителей информации. | |
| 20. | План внутренних проверок режима защиты персональных данных. | |
| 21. | ||
| 22. | Положение об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. | |
| 23. | Положение о разграничении прав доступа к обрабатываемым персональным данным в ООО «….». | |
| 24. | Положение об обеспечении безопасности персональных данных. | |
| 25. | Положение об обработке персональных данных в ООО «….». | |
| 26. | Положение об ответственном за обработку персональных данных в ООО «….». | |
| 27. | Положение об оценке вреда, который может быть причинен субъектам персональных данных, в случае нарушения федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». | |
| 28. | Положение о комиссии ООО «….» по вопросам информационной безопасности, состав комиссии. | |
| 29. | Приказ о начале обработке персональных данных. | |
| 30. | Приказ об ответственных и комиссии по информационной безопасности. | |
| 31. | Приказ о назначении сотрудников, имеющих доступ в персональным данным.
— список сотрудников. |
|
| 32. | Приказ утверждающий перечень мест хранения материальных носителей персональных данных.
— перечень мест хранения ИСПДн. |
|
| 33. | Приказ об перечне персональных данных ИС ПДн, перечень ИС ПДн. | |
| 34. | Приказ о контролируемой зоне:
— Схема границ. — Список лиц, имеющих право вскрывать помещение. — Список лиц, имеющих находиться в помещение. |
|
| 35. | Перечень персональных данных. | |
| 36. | Перечень информационных систем персональных данных. | |
| 37. | Согласие сотрудника на обработку его персональных данных. | |
| 38. | Согласие клиента на обработку его персональных данных. | |
| 39. | Согласие …. на обработку его персональных данных. | |
| 40. | Журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных. | |
| 41. | Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним, ключевых документов. | |
| 42. | Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов. | |
| 43. | Журнал учета лицевых счетов пользователей средств криптографической защиты информации. | |
| 44. | Журнал учета и выдачи машинных носителей персональных данных. | |
| 45. | Журнал учета проверок, проводимых органами государственного контроля (надзора). | |
| 46. | Журнал обращений субъектов персональных данных для получения доступа к своим персональным данным. | |
| 47. | Журнал регистрации входящих конфиденциальных документов. | |
| 48. | Журнал регистрации исходящих конфиденциальных документов | |
| 49. | Журнал регистрации и выдачи печатей опечатывающих устройств. | |
| 50. | Журнал инвентарного учета документов ограниченного распространения. | |
| 51. | Журнал регистрации выдачи и приема ключей от помещений, хранилищ (сейфов). | |
| 52. | Журнал учета фактов несанкционированного доступа к персональным данным и принятых мер. | |
| 53. | Журнал учета хранилищ (сейфов). | |
| 54. | Журнал учета ключевой информации. | |
| 55. | Журнал учета движения материальных носителей персональных данных. | |
| 56. | Журнал учета уничтожения персональных данных и (или) материальных носителей, содержащих персональные данные. | |
| 57. | Журнал ознакомления лиц о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации. |
В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.
Порядок оформление доступа к персональным данным лица, осуществляющего обработку персональных данных.
Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
1. Оформление приказа о назначении ответственного за организацию обработки персональных данных
Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде.
2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию.
В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником.
Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой
Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей.
3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ.
4. Оформление письменных обязательств о неразглашении персональных данных.
Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.
5. Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.
Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен. с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).
Персональные данные в организации есть всегда. Порой работодатель даже не представляет, как много информации о сотрудниках обрабатывается с нарушением закона. Как правильно организовать работу с персональными данными, как составить внутренние документы, что можно упустить, а что учесть обязательно? Читайте консультацию-памятку от эксперта трудового права Анны Никурадзе.
Ошибки в работе с персональными данными чаще всего случаются по незнанию, а не из-за попытки обойти нормативные требования. Вот самый распространенный пример: будущий работник подает пакет документов по списку, куда входит ИНН или справка о составе семьи. Принимая такие документы, работодатели не берут согласия на их обработку, поскольку думают, что в этом нет необходимости, чем невольно нарушают закон. Но если вы вооружены достаточными знаниями, административных рисков можно избежать.
Для начала разберемся, какие сведения о работниках считаются персональными данными: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных ) . Такое определение дано в п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее Закон N 152-ФЗ):
То есть, к персональным данным относят:
- фамилию, имя, отчество, дату и место рождения;
- сведения об образовании (в том числе послевузовском профессиональном) - номера дипломов, названия образовательных организаций, квалификацию, присвоенную гражданину, ученую степень и пр.;
- семейное, социальное и имущественное положение работника;
- профессию и места работы;
- любые документы, которые содержат вышеперечисленные данные;
- документы, содержащие сведения о членах семьи и иных третьих лицах;
Кроме этого, персональные данные содержатся в документах, обязательно предъявляемых при трудоустройстве. Их перечень указан в ст. 65 Трудового кодекса РФ и эта статья позволяет работодателю принимать и обрабатывать перечисленные в ней документы без предварительного согласия.
Некоторые работодатели (видимо, по старой привычке) до сих пор требуют фото для вклеивания в личную карточку Т2, однако не спрашивают официального согласия работника. Есть мнение, что фотография не относится к персональным данным, но с этим можно поспорить. Ведь законодатель говорит, что персональными данными считаются любые сведения , позволяющие идентифицировать определенного человека, даже без использования его имени, фамилии и даты рождения. Таким образом, если специалист запрашивает фото работника, об этом обязательно надо упомянуть в письменном согласии на обработку персональных данных, с указанием целей обработки.
Возможно, прочитав предыдущие утверждения, вы сделали вывод, что персональные данные - это вся информация, которую человек предоставляет о себе, и обрабатывать ее можно только с его письменного разрешения.
Однако мы помним, что законодатель все же идет навстречу оператору и оговаривает возможность не брать согласие на обработку сведений, перечисленных в ст. 65 ТК РФ. Но в этот список не входят справки о составе семьи, ИНН, справки о состояния здоровья.
Так, в момент приема на работу некоторые компании запрашивают ИНН сотрудника, поскольку он понадобится для отчетности и закон периодически требует включать их в отчетные формы. Для того чтобы оформить человека на должность, и в дальнейшем поддерживать с ним трудовые отношения, ИНН не требуется. Поэтому если организации все-таки нужны эти данные, обязательно следует получить письменное согласие работнику.
Что еще должен делать работодатель при обработке персональных данных?
Согласно п. 7 ст. 86 Трудового кодекса РФ, работодатель обязан обеспечить за счет своих средств защиту персональных данных работника от неправомерного использования или утраты, а также выполнять установленный законом порядок их использования и хранения.
Исходя из указанных требований, работодатель издает локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного использования или утраты. Этот документ должен содержать:
- описание внешнего и внутреннего доступа к персональным данным;
- перечень лиц, которым предоставлен такой доступ;
- ответственность за разглашение сведений;
- порядок работы с персональными данными;
- регламент защиты персональных данных (включая защиту от третьих лиц).
С соответствующими положениями и своими правами работники должны ознакомиться под роспись.
Обычно в организации таким локальным нормативным актом признается отдельное Положение о защите персональных данных. Структура его может быть следующей:
1) «Общие положения» – в данном разделе прописываются общие моменты, цели создания документа и сфера его распространения;
2) «Основные понятия" – указываются используемые определения;
3) «Перечень персональных данных и цели обработки» – здесь перечисляется, какие сведения могут быть использованы оператором
4) «Обработка персональных данных» – в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;
5) «Передача персональных данных» – тут необходимо отразить порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;
6) «Доступ к персональным данным» - в указанном разделе будет прописан порядок доступа к персональным данным – внешний (передача информации третьим лицам) и внутренний (обработка персональных данных внутри компании);
7) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» - здесь будет расписана дисциплинарная и материальная ответственность лиц, работающих с персональными данными;
8) «Угрозы безопасности» – в этом разделе описывается модель и степень угрозы, а также что предпринимается для защиты персональных данных;
8) «Заключительные положения» – сюда включаются положения о вступлении в силу акта, длительность его действия, и порядок его изменения.
Как защитить персональные данные сотрудников
Работодатель обязан создать все условия для защиты персональных данных: систему, которая обеспечивает конфиденциальность, недоступность, а также целостность и безопасность информации в процессе деятельности компании.
Закон предусматривает внутреннюю и внешнюю защиту.
- Для обеспечения внешней защиты персональных данных работников компания может, например, ввести пропускной режим для посетителей и использовать программно-технический комплекс защиты информации на электронных носителях.
- Для обеспечения внутренней защиты персональных данных компания может установить регламент состава работников, чьи функциональные обязанности требуют доступа к персональным данным других работников. При этом следует избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными, и оборудовать рабочие места таким образом, чтобы не было возможности беспрепятственно проникнуть и «подсмотреть» информацию, и так далее.
Комплекс защитных мер зависит от уровня угрозы безопасности. Чем уровень выше, тем больше действий необходимо предпринимать.
Выделяют три типа угроз, которые создают актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе. Тип угрозы, характерный для информационной системы, работодатель определяет самостоятельно. Исходя из этого, применяется один из четырех уровней защиты.
Обеспечение достойного уровня безопасности включает множество различных требований, которые надо строго соблюдать.
Так, чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, необходимо:
- обезопасить от неконтролируемого проникновения помещения, в которых установлена информационная система;
- обеспечить сохранность носителей персональных данных;
- защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
- издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.
Персональные данные потенциальных сотрудников: как поступать с кандидатами
Еще один интересный вопрос связан с персональными данными соискателей: какие действия разрешены работодателю, когда люди приходят на собеседования?
Резюме считается общедоступной информацией, и при его использовании не нужно письменное согласие. Но если соискатель заполняет анкету с указанием личных данных и специалист службы персонала снимает копии с документов (паспорт, диплом и т.п.), письменное согласие брать обязательно.
В заключение хотелось бы подчеркнуть, что работа с персональными данными - это высочайший уровень ответственности. Не стоит пренебрегать правилами и недооценивать важность получения согласия и формирования защиты. Кроме того помните, что сейчас трудовая инспекция особенно строго следит за соблюдением трудового законодательства довольно тщательно и не упускает ни одну из нормативных сфер. Один короткий документ, полученный от работника или кандидата, обезопасит вас от административной ответственности.
Анна Никурадзе, старший юрист Департамента трудового права Института профессионального кадровика
Возможно, будет полезно почитать:
- Аббатство - это католический монастырь ;
- Самые распространенные расклады ;
- Быт и обычаи Обычаи и нравы 19 века ;
- К чему снятся жабы и лягушки: мужчине, девушке, женщине, беременной – толкования разных сонников ;
- Основные характеристики марса ;
- Должностная инструкция транспортного экспедитора ;
- Татаро-монгольское иго или история о том, как ложь стала правдой ;
- Журавль толкование сонника ;