Положение о персональных данных, порядок работы с ними, политика обработки, хранения и разграничения прав доступа, образец этого документа и листа ознакомления

Главным документом в области использования информации о физических лицах, является Закон от 27.07.2006 года № 152-ФЗ. Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление.

Предприятия должны установить контроль в своих подразделениях за соблюдением гражданами законодательства о защите персональных данных. Для этих целей руководство принимает внутренние нормативные акты, с которыми каждый сотрудник знакомится в момент подписания трудового контракта и дает письменное обязательство соблюдать все правила.

Постановление Правительства РФ от 01.11.12 № 1119, которое утверждает свои требования к организации защиты:

• частную модель угроз для безопасности персональных сведений в информационной системе (п. 7);
• инструкцию пользователя конфиденциальной информации (п. 13);
• инструкцию администратора данных (п. 13);
• журнал учета носителей информации, содержащих персональные данные (п. 13 (б));
• список (перечень) лиц, которые допущены к обработке (п. 13 (в));
• электронный журнал обращений (п. 15, 16);
• приказ с перечнем мест хранения (п. 13).

Политика предприятия в области защиты персональных данных

До начала работы с личными сведениями граждан организация-оператор уведомляет об этом Роскомнадзор. Законодатель не называет, сколько локальных актов должно быть у организаций.

Руководитель определяет круг лиц, которые имеют доступ к таким сведениям, с возложением индивидуальной ответственности.

Внутренние документы регулируют:

• общие принципы работы;
• порядок обработки на бумажных носителях;
• правила работы в информационных системах;
• особенности хранения;
• порядок передачи;
• инструкция для сотрудников;
• другие моменты.

Перечень основных локальных документов

Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации. Во исполнение требований Закона № 152-ФЗ могут быть введены в действие следующие документы:

• положение об обработке персональных данных (ст. 22);
• план мероприятий для проведения контроля (ст. 18.1);
• распорядительный акт о назначении ответственных (ст. 22.1);
• внесение дополнений в должностные инструкции (ст. 22.1);
• форма согласия на обработку персональных данных (ст. 6 и 9);
• форма запроса на доступ (ст. 14);
• формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении (ст. 20 и 21).

Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.

Алгоритм утверждения положения о защите персональных сведений

Положение, регламентирующее процесс работы с персональной информацией, раскрывает, как должны храниться и использоваться сведения, относящиеся к служащим фирмы, пациентам лечебного учреждения, клиентам и т.д. Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно.

Процесс принятия и внедрения локального акта состоит из нескольких этапов:

• создание проекта;
• получение согласования от компетентных специалистов компании;
• введение в действие путем подписания приказа;
• доведение документа до сотрудников, которые знакомятся с ним под роспись.

В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба. Приказ о внедрении локального акта в работу составляется в свободном виде.

Основные разделы Положения

Положение разбивается на смысловые разделы с учетом требований Закона 152-ФЗ. Рекомендуется включить в документ следующие разделы:

• общие сведения;
• список информации и документов, содержащих данные о гражданах;
• обязательства нанимателя;
• процедура предоставления личных сведений;
• способы и виды работы с информацией о гражданах;
• оформление доступа к сведениям;
• защита конфиденциальной информации;
• права и обязанности субъекта;
• ответственность должностных лиц и компании.

Перечень информации, относящейся к персональной

Закон № 152-ФЗ (статьи 8, 10, 11) разделяет данные о физических лицах на:

• обезличенные – по ним нельзя определить конкретное лицо;
• общие – первичные и основные;
• специальные – здоровье, религия, раса, нация и т.д.;
• биометрические – физиология и биология.

Персональные данные – это любые сведения, относящиеся к физическому лицу.

В перечень входит:

• фамилия, имя, отчество;
• число и населенный пункт рождения;
• адрес проживания;
• информация о документе, удостоверяющем личность;
• СНИЛС;
• ИНН;
• сведения о дипломах;
• информация о полученных доходах и оплате труда;
• семейный статус;
• другое.

Методы сбора и защиты ведомостей

Собрать информацию можно автоматизированными и неавтоматизированными способами. В первой ситуации лицо заполняет специальные электронные формы, из которых сведения попадают в базу данных. Во второй – информация передается при личном общении, путем изучения документов, через других лиц и т.д.

Согласно Закону № 152-ФЗ фирма обязана:

• определить, кто будет отвечать за организацию процесса обработки личных данных;
• ввести в работу внутренние документы;
• обеспечивать безопасное применение и использование;
• контролировать процесс работы с информацией;
• предотвращать вред, если будет нарушено законодательство;
• знакомить с правилами работы граждан, принимаемых по трудовому договору.

Закон от 27.07.2006 № 149-ФЗ называет методы защиты:

• реализация правил конфиденциальности;
• пресечение неразрешенного доступа;
• выявление фактов незаконного доступа и устранение вреда;
• организация защиты технических средств;
• запись резервных копий.

Назначение ответственных за хранение и обработку

Фирма назначает лиц, которые отвечают за обработку и хранение личных данных (ст. 18.1 Закона № 152-ФЗ). Доступ к информации оформляется приказом с перечислением конкретных работников. Обычно ответственными сотрудниками являются:

• начальник кадрового отдела;
• инспекторы отдела по работе с персоналом;
• работники бухгалтерии;
• специалисты отдела информатизации.

Статья 6 Закона № 152-ФЗ раскрывает условия обработки персональных данных:

• взятие у гражданина согласия;
• согласованность с поставленными задачами и целями.

В процессе обработки информации оператор выполняет следующие действия:

• собирает;
• уточняет;
• систематизирует;
• использует;
• удаляет;
• хранит.

Нарушения положения и ответственность должностных лиц

Компания не должна допускать несанкционированное использование личных сведений. За нарушение законодательства назначаются административные, уголовные, дисциплинарные наказания. Виновное лицо также можно привлечь к гражданско-правовой ответственности, т.е. воспользоваться процедурой возмещения вреда.

Читайте так же:   Благодарственная грамота сотруднику за хорошую работу

• ст. 13.11 – нарушение порядка работы с информацией;
• ст. 13.12 – несоблюдение правил защиты;
• ст. 13.14 – разглашение сведений;
• ст. 19.5 – невыполнение предписания контролирующего органа.

В качестве меры административной ответственности применяются штрафы, которые налагаются на организацию, предпринимателя или должностное лицо.

Уголовная ответственность предусмотрена ст. 137 УК РФ, которая запрещает посягать на частную жизнь граждан. В случае признания лица виновным, оно должно заплатить штраф либо отбыть обязательные, исправительные или принудительные, работы. Суд может запретить заниматься профессиональной деятельностью или наложить арест на два года.

Если пострадавшему причинен моральный вред, он вправе его взыскать в порядке, который предусматривает ГК РФ.

Инструкция для работников

В повседневной жизни фирмы сотрудники работают со средствами автоматизации и программным обеспечением на персональных компьютерах. Поэтому помимо положения может быть разработана инструкция, определяющая порядок использования информационных систем. Документ включает в себя правила:

• безопасного использования различных программ и технических средств;
• применения логинов и паролей;
• предоставления доступа;
• антивирусной защиты;
• работы с носителями;
• другие моменты.

Таким образом, следует внимательно изучить законодательство, устанавливающее правила работы с личными сведениями граждан и правильно организовать процесс их сбора и защиты. Это позволит защитить заинтересованных лиц и избежать юридической ответственности.

О том, как организовать защиту информации на предприятии, рассказано в видео ниже.

Рекомендуем другие статьи по теме

Источник: https://ZnayBiz.ru/kadry/rezhim/trudovaya-disciplina/zaschita-personalnyh-dannyh.html

Составляем приказ о персональных данных работников

К персональным данным относится информация, позволяющая определить конкретное лицо. Федеральным законом от 27.07.2006 № 152-ФЗ определен перечень сведений, в том числе Ф.И.О., пол, возраст, фото и видео человека, образование, место проживания, семейный статус и другие подобные сведения, по которым конкретное лицо может быть идентифицировано.

Ответим в статье на вопросы о необходимости издания и содержании приказа о защите данных, а также ответственности работодателя при его отсутствии.

Зачем нужен приказ о персональных данных

Администрацией учреждения должна быть внедрена система защиты информации, касающейся сведений о работниках. Одним из элементов данной системы является издание распорядительного документа, определяющего алгоритм работы с данными.

Приказ о защите сведений определяет обязанность ответственных лиц обеспечить конфиденциальность персональных данных о сотрудниках и объем допуска каждого должностного лица.

Установленный образец приказа о защите персональных данных работников отсутствует, однако законодательно определено содержание документа, сопровождающего организацию процесса защиты информации:

• назначение ответственного за организацию процесса обработки данных;
• определение перечня лиц, допущенных к сбору, хранению и обработке;
• утверждение положения об обработке и защите конфиденциальных данных.

Как правильно оформить приказ о персональных данных

• Хотя образец приказа о персональных данных работников 2019 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.
• В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.
• Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)
• Основная часть приказа о персональных данных должна содержать:

• собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
• указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
• указание ответственному лицу ознакомить работников с распорядительным документом;
• определить работника, который будет контролировать исполнение (может быть сам руководитель).

Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.

Образец приказа об изменении персональных данных работника

Скачать

Как заполнять

Приказ может состоять из следующих разделов:

1. Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
2. Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.
3. Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
4. Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.
5. Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
6. Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.

Положение о персональных данных нужно довести до сведения всех сотрудников. Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения.

Скачать

Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии). В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов.

Скачать

Ответственность за отсутствие

Сведения о сотрудниках необходимо защищать от неправомерного доступа. Проверку организации выполнения требований 152-ФЗ осуществляет Роскомнадзор.

В законе прямо не установлены виды нарушений и ответственность за них. 152-ФЗ отсылает работодателя к иным отраслевым законодательствам. Так, УК РФ содержит нормы, предусматривающие ответственность за неправомерное использование информации о сотрудниках.

Основная ответственность за нарушение норм 152-ФЗ — административная, которую можно понести за нарушение порядка сбора, хранения и использования сведений, за их непредоставление по запросу уполномоченных структур.

За нарушение 152-ФЗ должностное лицо может быть привлечено к дисциплинарной ответственности за ненадлежащее исполнение трудовых обязанностей при обработке информации, в том числе увольнению по пп. «в» п. 6 ст. 81 ТК РФ.

Источник: https://gosuchetnik.ru/shablony-i-formy/sostavlyaem-prikaz-o-personalnykh-dannykh-rabotnikov

➤ Положение о защите персональных данных работников 2020: образец скачать | Читайте статьи журнала Кадровое дело

Инспектор ГИТ проверит, утвердил ли работодатель Положение о работе с персональными данными. Как составить документ, чтобы его содержание соответствовало закону и готовый образец документа, ищите в статье.

Скачайте документы по теме:

Положение о персональных данных работников:2020 образец

В процессе трудоустройства, а зачастую — даже раньше, еще на этапе предварительного анкетирования и собеседования, работник предоставляет работодателю определенные сведения, носящие личный характер.

Такая информация относится к категории конфиденциальной и не подлежит разглашению третьим лицам.

Более того, далеко не все виды сведений можно запрашивать — к примеру, вопрос о религиозной принадлежности или политических взглядах соискателя будет неуместным на любом собеседовании.

Определение персональных данных содержится в законе №152-ФЗ от 27.07.2006 г. Это ключевой нормативной документ, на федеральном уровне закрепляющий основные нормы и принципы обращения с информацией личного характера. Согласно ст.

3 закона №152-ФЗ, персональными считаются любые данные, относящиеся прямо или косвенно к конкретному субъекту (физическому лицу).

Субъект может предоставлять сведения о себе оператору — государственному или муниципальному органу, работодателю (юридическому или физическому лицу).

Положение о работе с персональными данными работников

Оператор не имеет права обрабатывать полученную информацию или разглашать ее третьим лицам без согласия субъекта.

Защита персональных данных обеспечивается законодательством РФ: вышеупомянутым федеральным законом №152-ФЗ, отдельными статьями Трудового, Уголовного и Гражданского кодексов РФ, а также ст. 5.39 и 13.11-13.

14 Кодекса об административных правонарушениях РФ. Действие этих норм распространяется на организации всех форм собственности.

Каждая компания, собирающая личные сведения о своем персонале, должна составить и утвердить положение о защите персональных данных работников.

Так называется локальный нормативный акт, устанавливающий порядок работы с персональными данными в рамках конкретного предприятия согласно требованиям ст. 87 ТК РФ.

В сфере государственной гражданской службы разрабатывается «Положение о персональных данных государственного гражданского служащего и ведении его личного дела», как того требует указ президента РФ №609 от 30.05.2005 г.

Чтобы без ошибок оформить Положение об обработке персданных, используйте онлайн-сервис «Системы Кадры»

Воспользоваться сейчас

Основные виды сведений личного характера

Условно весь объем персональных данных о том или ином субъекте можно разделить на пять видов:

• общие;
• общедоступные;
• обезличенные;
• специальные;
• биометрические.

Общей информацией считаются паспортные данные человека (фамилия, имя, отчество, дата рождения, семейное положение), адрес, номер телефона, сведения о полученном образовании и т.д.

Актуальное законодательство не содержит исчерпывающего перечня общих данных, зато весьма подробно перечисляет разновидности специальных данных, для которых установлены особые правила сбора, обработки и хранения.

К ним относятся сведения о:

• состоянии здоровья;
• интимной жизни;
• наличии судимостей;
• вероисповедании;
• философских и политических убеждениях;
• расовой и национальной принадлежности.

Запрашивать специальные данные для обработки можно лишь в строго определенных случаях — в целях медицинского (с непременным соблюдением врачебной тайны) или страхового обслуживания, для осуществления правосудия, в рамках противодействия терроризму, для защиты жизни или здоровья субъекта. Информация о судимости обрабатывается только при наличии федерального закона, устанавливающего необходимость такой обработки. Кроме того, не возбраняется обрабатывать специальные сведения, если сам субъект дал на это письменное согласие или сделал их общедоступными.

Шпаргалка. Когда персональные данные можно обрабатывать без согласия работника

Посмотреть шпаргалку

Внимание! Общедоступной считается информация, размещенная владельцем в публичных источниках — газетах, журналах, адресных и телефонных справочниках, социальных сетях.

Биометрическими называют сведения о физиологических или биологических особенностях конкретного человека: росте, телосложении, отпечатках пальцев, рисунке радужной оболочки глаза, результатах генетических и иных исследований, позволяющих установить его личность. Иногда без них не обойтись.

Типичный случай применения «биометрики» описывается в заметке «Может ли работодатель снимать отпечатки пальцев сотрудников для организации пропускного режима»: результаты дактилоскопии позволяют моментально идентифицировать работника, что очень важно при проведении мероприятий с ограниченным допуском.

Обрабатывать и хранить биометрические данные следует в соответствии с постановлением Правительства РФ №512 от 6.07.2008г.

После достижения или утраты цели обработки биометрические, специальные и общие персональные данные должны обезличиваться.

Установить принадлежность обезличенных сведений (например, обработанных результатов статистических отчетов и опросов) конкретному человеку невозможно.

Внимание! Данные, которые по объективным причинам не получается обезличивать, должны уничтожаться.

Составляя положение о персональных данных работников, не забудьте прописать правила обработки разных видов информации, в том числе — биометрической, если организация ее собирает и использует в работе.

Какие функции выполняет положение о защите персональных данных

Так или иначе, работодатель получает доступ к определенной информации о частной жизни работника.

Заполнение личной карточки (унифицированная форма Т-2), предоставление различных льгот и компенсаций, оформление налогового вычета — вот лишь малый список стандартных процедур, для проведения которых приходится запрашивать у сотрудника сведения о состоянии здоровья, составе семьи и т.д. А раз осуществляется обработка, то необходимо и положение о защите персональных данных (образец документа рассмотрен ниже).

Внимание! Получать личные сведения о сотруднике нужно непосредственно от него, а не от третьих лиц.

Даже в пределах одной организации передавать личные сведения можно только в соответствии с локальным нормативным актом, с которым весь персонал должен предварительно ознакомиться под подпись. Необходимость такого ознакомления закреплена п. 8 ст. 86 ТК РФ. 

Положение о персональных данных работников: образец структуры

Само понятие обработки информации охватывает разные виды операций, перечисленные в п.3 ст.3 федерального закона №152-ФЗ. Сначала проводится сбор, запись и систематизация сведений. Далее имеет место их накопление, хранение и использование.

Данные можно уточнять, обновлять или изменять, извлекать и передавать. Если нет необходимости в использовании персонализированной информации, ее обезличивают или уничтожают.

Поэтому положение о работе с персональными данными работников поделено на разделы, посвященные разным этапам обработки информации:

• общие положения;
• получение и систематизация;
• хранение;
• использование;
• передача;
• гарантии конфиденциальности.

Разумеется, предложенную структуру можно корректировать по мере необходимости — объединять имеющиеся разделы и добавлять новые, включать дополнительные перечни и приложения.

Но даже самое простое типовое положение о персональных данных работника представляет собой удобную стартовую заготовку, на базе которой можно разработать полноценный документ, адаптированный к условиям работы конкретного предприятия.

Положение о персональных данных: порядок обработки и хранения информации

Разрабатывая положение о персональных данных, образец можно использовать как основу. Особое внимание следует уделить разделам, посвященным порядку сбора, систематизации и хранения информации.

Чем подробнее прописан каждый пункт, тем лучше и безопаснее для работодателя.

Если при приеме на работу проводится обязательное анкетирование соискателей, максимально точно опишите процедуру и перечислите конкретные виды запрашиваемых сведений:

Хранение любых носителей личной информации — бумажных, электронных и любых других — предполагает ограничение доступа к ним. В этих целях используются отдельные помещения, сейфы, запирающиеся шкафы, специальные папки и запароленные электронные базы данных. Запрашивать конфиденциальные сведения без особого разрешения может лишь ограниченный круг должностных лиц.

Каждый работник имеет законное право знать, как именно и в каком объеме обрабатываются и используются его персональные данные, а также исправлять или исключать неверные, неполные или обработанные с нарушениями сведения о себе.

Справка

Положение о работе с персональными данными работников: образец оформления раздела о передаче сведений

Работодателю разрешается передавать сведения личного характера третьим сторонам, но только при определенных обстоятельствах — например, в целях предупреждения угрозы жизни и здоровью работника или в случаях, предусмотренных федеральными законами. При этом данные не становятся общедоступными, а конфиденциально передаются уполномоченному лицу.

Во всех остальных случаях действует норма, закрепленная ст.7 закона №152-ФЗ и требующая каждый раз, когда возникает такая потребность, запрашивать у субъекта согласие на передачу его личных данных. При этом данные передаются в ограниченном объеме, необходимом для выполнения конкретной функции и не более того.

Обязательно добавьте раздел о правилах передачи конфиденциальной информации в положение о персональных данных работников. Пример оформления раздела выглядит так:

Работодатель должен вести учет выдачи любых сведений личного характера, имеющих отношение к работникам предприятия. С этой целью заводится специальный журнал (книга) либо электронный документ. В идеале записи стоит дублировать, сохраняя и на электронных, и на бумажных носителях. 

Как утвердить положение о персональных данных работников: образец приказа

Утвердить положение о защите персональных данных работников можно двумя способами: издать отдельный приказ или же просто предусмотреть на бланке основного документа специальное поле для заверительных реквизитов. Работодатели, не желающие множить количество бумажной работы, обычно предпочитают второй способ и добавляют необходимые поля в «шапку» документа.

Утверждая документ, руководитель организации ставит на нем личную подпись и печать. Если же выбран первый, более трудоемкий способ утверждения, составляется соответствующий распорядительный документ. Он оформляется в общем порядке и, по сути, ничем не отличается от стандартных приказов об утверждении внутренних нормативных актов компании.

Если ранее работодателем применялась другая редакция положения, при введении в действие новой редакции как образец используется приказ об утверждении Положения о работе с персональными данными или любого другого локального акта.

Приказ об утверждении Положения о работе с персональными данными

Внимание! Если в организации есть юридический отдел или штатный юрисконсульт, рекомендуется согласовать с ним положение о защите персональных данных работников прежде, чем документ отправится для окончательного утверждения к руководителю предприятия.

Уведомление об обработке персональных данных

Помимо ряда основных мер по защите личных данных персонала, законом предусмотрена еще одна обязанность оператора — извещение Роскомнадзора о предстоящей обработке персональных данных. Эта норма присутствует в российском законодательстве с 2007 года. Форма уведомления, применяемая в настоящее время, утверждена в 2008 году. 

Сразу отметим, что требование об извещении распространяется не на всех работодателей. Согласно ст.22 закона №152-ФЗ, не обязаны составлять уведомление для Роскомнадзора организации, которые:

• обрабатывают полученные сведения в соответствии с трудовым законодательством;
• получают информацию в связи с заключением договора и используют ее исключительно в рамках исполнения договоренностей;
• получают данные, признанные общедоступными или включающие только фамилии, имена и отчества субъектов;
• запрашивают информацию однократно в целях пропуска субъекта на территорию оператора;
• относятся к числу религиозных или общественных и обрабатывают информацию в условиях конфиденциальности для достижения законных целей.

Чтобы каждый раз не уведомлять Роскомнадзор об обработке данных, работодатель, использующий сведения о работниках исключительно в рамках трудового законодательства, может закрепить соответствующее условие внутренними документами. Пропишите в положениях и других локальных актах основные направления деятельности компании и цели, с которыми она ведет сбор и обработку личной информации о персонале.

Ответственность за нарушение правил обработки сведений личного характера

За нарушение законодательства о защите персональной информации виновное лицо можно привлечь не только к дисциплинарной, но и к административной ответственности, а в некоторых случаях — и уголовной ответственности. Мера ответственности выбирается с учетом вида, тяжести и обстоятельств совершения проступка.

Следует помнить, что серьезным нарушением считается и неправомерный доступ к электронной информации, охраняемой законом, и нарушение неприкосновенности частной жизни.

Сюда же относится ненадлежащее хранение персональных данных, а также непреднамеренное, совершенное без злого умысла разглашение конфиденциальных сведений, доступ к которым был получен при выполнении трудовых обязанностей.

Размеры штрафов, выплачиваемых работодателями за несоблюдение правил обработки личных данных персонала, постоянно увеличиваются и в настоящее время исчисляются десятками тысяч рублей. Поэтому если в организации не применяется или вовсе отсутствует положение о защите персональных данных работников, образец документа, составленного с учетом всех требований закона, явно не будет лишним.

Вывод

Чтобы обрабатывать персональные данные сотрудников без штрафа от ГИТ, работодатель должен составить и утвердить Положение об обработке персональных данных сотрудника.

 Такое положение – обязательный документ, который должен быть в организации. Составьте Положение в произвольной форме и включите в него все особенности порядка обработки персональных данных в вашей компании.

Готовый документ утвердите приказом работодателя. 

Источник: https://www.kdelo.ru/art/384908-zashchita-personalnyh-dannyh-rabotnikov-17-m11

Положение о защите персональных данных работников: как правильно составить, как утвердить, скачать образец

Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами — физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите. Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников.

Для чего необходимо положение о защите персональных данных

Персональные данные — это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними трудового договора и до увольнения.

Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке.

• С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.
• Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.
• Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными.

Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.

Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.

Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных опросных листов.

Внимание! Законодательство устанавливает, что в состав Положения должно входить согласие на обработку личных данных работника. Его необходимо запрашивать у работающего на предприятии человека каждый раз, когда происходит разглашение сведений третьим лицам, например, при составлении доверенности, справок и т. д.

При этом данное согласие сотрудник может отозвать в любой момент, подав на имя своего работодателя соответствующие заявление.

Какие данные сотрудников являются персональными

Нормы законодательства определяют, что включается в состав личных данных человека. Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.

Сюда включаются:

• Полные личные данные работника (Ф.И.О.).
• Сведения о месте и дате появления его на свет.
• Адрес фактический и по регистрации.
• Социальное, семейное, имущественное положение.
• Имеющиеся у работника образование, профессия.
• Сведения о получаемых сотрудником доходах и т. д.

Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.

Список информации, которая может быть отнесена к ПД сотрудника не является закрытым, поэтому каждый субъект, ведущий бизнес, имеет право расширять его, при этом данные категории должны быть обязательно зафиксированы в Положении предприятия.

Закон не определяет, какие именно сведения и разделы должны быть внесены в документ. Также нигде не оговариваются критерии, по которым необходимо производить оформление. Поэтому, в процессе подготовки этого документа на предприятии нужно учитывать требования ФЗ о персональных данных, а также общие принципы оформления внутренних нормативных актов.

Общие положения

Этот раздел должен содержать цели составления документа, иметь ссылки на законы и другие нормативные акты по работе с персональными данными. Еще здесь нужно описать процесс введения положения в действие, и как именно будут в него вноситься изменения.

Перечень персональных данных сотрудников

Это один из самых важных разделов в положении, поскольку именно он будет определять, какие именно сведения подпадают под понятие персональных.

Составлять этот раздел лучше всего только после того, как от работников получены все необходимые документы и проведен их анализ на предмет содержащихся в них сведений.

Здесь же можно описать внутренние документы, в которых могут содержаться личные данные, и какие также должны подлежать защите.

Операции с персональными данными

В этом разделе нужно описать какие подразделения, либо конкретные лица, получают право на работу с персональными данными. Также здесь нужно конкретно указать носители, на которых могут храниться данные (например, в виде распечаток на бумаге, в электронном виде в базе данных и т.д.)

Доступ к персональным данным

В разделе нужно описать каким образом персональные данные, имеющиеся в компании, могут быть использованы другими работниками, не имеющими на это полномочий. Также в этом разделе необходимо обговорить порядок предоставления имеющихся сведений в другие организации, госорганы, прочим лицам.

Обязанности работников с доступом к персональным данным

В этом разделе нужно описать какие именно действия обязаны выполнять работники, допущенные к личным данным сотрудников компании.

Права работников в отношении операций с персональными данными

Здесь описываются права работников, которые передали компании свои персональные сведения, и тех, кто обладает доступом к таким сведениям в процессе выполнения обязанностей.

Защита персональных данных

В разделе описывается, в каком именно месте и каким образом в компании хранятся полученные персональные данные.

Необходимо подробно указать при помощи каких мер производится защита данных на бумаге (например, архивные шкафы, запирающиеся на ключ, замок с кодовым доступом на двери помещения архива и т. д.).

Также нужно описать, где хранятся и как защищаются данные, имеющиеся в электронном виде.

Порядок утверждения положения о персональных данных сотрудников

Если в компании сформирован профсоюз, то принятие положения должно производиться только после его согласования с данным органом.

Проект документа нужно передать в профсоюз, у которого есть пять дней на его рассмотрение. По истечении этого срока орган должен в письменном виде представить свое мнение о нем.

Мнение органа может выражать несогласие с представленным документом. В этой ситуации вместе с выражением мнения предоставляются предложения по изменению положения. Администрация должна либо принять предлагаемые изменения, либо в срок трех дней провести с органом дополнительные обсуждения.

Если даже после этого согласие достигнуто не было, то обе стороны составляют и подписывают протокол разногласий. После этого шага администрация имеет право принять документ в том виде, как он предлагается. Но надо помнить, что профсоюз при возникновении спорной ситуации может обжаловать принятие положения в суде либо через трудинспекцию.

Если профсоюзный орган в организации не сформирован, но есть другой, представляющий интересы рабочих, то проводить согласование положения нужно с ним.

Если профсоюза нет вообще, то администрация вводит Положение о персональных данных в действие самостоятельно, принимая необходимый приказ. В этом распоряжении нужно проставить дату, с которой нормативный акт начинает действовать, определить ответственных лиц за соблюдение его, отменить предыдущий нормативный акт (если новое положение принимается взамен старого).

бухпроффи

Важно! Если в приказе не указана дата начала действия, то положение приобретает силу с даты подписания распоряжения.

Ответственность за разглашение персональных данных

C 1 июля 2017 года начали действовать поправки к законам и КОАП, которые касаются работы с личными данными. Среди них было существенное увеличение штрафов за нарушения в сфере обработки и хранения сведений о людях.

Закон о персональных данных с 1 июля 2017 года предусматривает следующие штрафы:

• Так, если производится сбор персональных данных в не предусмотренных законом случаях, либо выполняется обработка несовместимая с целями, указанными в законе, это наказывается предупреждением либо штрафом для простых граждан в сумме 1-3 тыс. р., для должностных лиц — 5-10 тыс. р., для предприятий — 30-50 тыс. р.
• Если у субъекта, получившего персональные данные, нет согласие на обработку персональных данных от их владельца, хотя оно обязательно должно быть получено, влечет наложение штрафа на граждан в сумме 3-5 тыс. р, на должностных лиц — 10-20 тыс. р., на организации — 15-75 тыс. р.
• Также поправками была введена ответственность за то, что оператор не опубликовал в открытом доступе документ, описывающий его политику по получению, обработке и хранению личных данных. Это действие влечет за собой штраф на граждан от 700 до 5 тыс. р., на должностных лиц — 3-6 тыс. р., на предпринимателя — 5-10 тыс. р., на организацию — 15-30 тыс. р.
• Если оператор данных не предоставляет владельцу сведения о том, каким образом производится обработка его данных, влечет наложение на граждан предупреждения либо штрафа в сумме 1-2 тыс. р., на должностных лиц — 4-6 тыс. р., на предпринимателей — 10-15 тыс. р, на компании — 25-40 тыс. р.

Источник: https://buhproffi.ru/dokumenty/polozhenie-o-zashhite-personalnyh-dannyh.html

Организация работы с персональными данными

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

• фамилия, имя, отчество;
• дата и место рождения;
• пол;
• адрес;
• семейное положение;
• должность (профессия);
• зарплата, другие доходы;
• владение недвижимым имуществом, денежные вклады и др.;
• образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
• привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
• факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• физиологические особенности, здоровье;
• деловые и иные личные качества;
• другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

N	Документ	Сведения
1	Анкета, автобиография, личный  листок по учету кадров  (заполняется при приеме на  работу)	Анкетные и биографические данные  работника
2	Копия документа,  удостоверяющего личность  работника	Ф.И.О., дата рождения, адрес  регистрации, семейное положение,  состав семьи
3	Личная карточка (форма N Т-2,  утверждена Постановлением  Госкомстата России  от 05.01.2004 N 1)	Ф.И.О. работника, место его рождения, состав семьи, образование, а также  данные документа, удостоверяющего  личность
4	Трудовая книжка	Сведения о трудовом стаже, предыдущих местах работы
5	Копии свидетельств о заключении брака, рождении детей	Состав семьи, изменения в семейном  положении
6	Документы воинского учета	Информация об отношении работника к  воинской обязанности, необходимая  работодателю для осуществления  воинского учета работников
7	Справка о доходах с предыдущего места работы	Ф.И.О., данные о сумме дохода и  удержанного НДФЛ
8	Документы об образовании	Подтверждают квалификацию работника,  обосновывают занятие определенной  должности
9	Документы обязательного  пенсионного страхования	Ф.И.О., личные данные
10	Трудовой договор	Сведения о должности работника,  заработной плате, месте работы,  рабочем месте, а также иные  персональные данные работника
11	Приказы по личному составу	Информация о приеме, переводе,  увольнении и иных событиях,  относящихся к трудовой деятельности  работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передача (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.

Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

N	Обязанность	Содержание раздела
1	Общие положения	Цель принятия Положения
Вопросы, которые регулирует Положение
Ссылки на нормативные акты. Указывают, на  основании каких документов составляется  Положение.  В организациях, где работают государственные  гражданские служащие, дается ссылка на:  — Федеральный закон от 27.07.2004 N 79-ФЗ  «О государственной гражданской службе Российской Федерации»;  — Указ Президента РФ от 30.05.2005 N 609 «Об  утверждении Положения о персональных данных  государственного гражданского служащего  Российской Федерации и ведении его личного  дела»;  — нормативные акты субъекта РФ
2	Основные понятия.  Состав персональных  данных работников	Основные понятия. Даются определения понятий  «персональные данные», «обработка персональных  данных», «использование персональных данных»,  указывается срок хранения документов и т.д.  Отдельно должно быть указано, что относится к  персональным данным в конкретной компании с  учетом ее особенностей (данные, используемые в  работе, например сведения о работе на режимных  объектах, об оформлении допуска к  государственной тайне, о соответствии здоровья  для профессий, связанных с тяжелыми и вредными  условиями, и т.д.)
Перечень документов организации, которые  содержат персональные данные
3	Получение  персональных данных  работников	Процедура получения персональных данных.  Указывается, что данные получают и обрабатывают  на основании письменного согласия работника.  Указываются случаи, когда согласие не нужно
4	Использование  персональных данных	Цели использования личной информации сотрудников
5	Обработка  персональных данных	Условия, соблюдаемые при обработке персональных  данных работника
6	Передача  персональных данных  (доступ к  персональным данным)	Порядок передачи персональных данных внутри  организации (внутренний доступ), сторонним лицам и государственным органам (внешний доступ)
7	Ответственность за  нарушение норм,  регулирующих  обработку и защиту  персональных данных	Указывают тех, кто несет ответственность за  нарушение правил хранения и использования  персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта.

Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться.

После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

• в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
• — листе ознакомления с Положением (образец на с. 91);
• — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N  п/п	Наименование локального нормативного акта	Дата	Подпись
1	Правила внутреннего трудового распорядка  ООО «Черный лес»

Источник: https://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi

Положение о персональных данных работников — образец 2019 года

Положение о персональных данных работников — образец 2019 года вы найдете в этой статье — должно быть обязательно включено в структуру кадрового документооборота фирмы, имеющей наемных сотрудников.

Каковы нюансы составления этого источника? Для чего нужно положение о работе с персональными данными работников? Рассмотрим ответы на эти и другие вопросы, а также приведем образец заполнения такого положения.

Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.

• Что такое персональные данные
• Для чего нужно положение о работе с персональными данными
• Положение о персональных данных работников: структура документа
• Где можно скачать образец положения об обработке персональных данных работников
• Итоги

Что такое персональные данные

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ).

Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Как составить согласие на обработку персональных данных, смотрите в здесь.

Для чего нужно положение о работе с персональными данными

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников.

Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться.

На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

Какая статья КоАП РФ предусматривает штраф за нарушения при обработке персональных данных, узнайте по ссылке.

См. также «Фото на пропуске может повлечь штраф за работу с персданными».

Положение о персональных данных работников: структура документа

Рассматриваемый документ содержит локальные нормы, определяющие:

• цели и задачи фирмы при работе с персональными данными;
• перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
• описание операций с данными, практикуемых компанией;
• способы доступа к данным, используемые в фирме;
• обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
• права сотрудников фирмы на приобретение санкционированного доступа к данным;
• правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

• устанавливающим общие положения документа;
• фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
• определяющим перечень ключевых операций с персональными данными;
• регламентирующим осуществление соответствующих операций;
• определяющим порядок доступа работников фирмы и иных лиц к данным;
• устанавливающим обязанности сотрудников, участвующих в операциях с данными;
• устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
• определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Где можно скачать образец положения об обработке персональных данных работников

Загрузить актуальный для 2019 года образец внутрикорпоративного положения об операциях с подобными данными вы можете на нашем портале. Для вас доступен источник, соответствующий структуре, рассмотренной нами выше.

Скачать образец

Итоги

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

Подписывайтесь на наш бухгалтерский канал Яндекс.Дзен

Подписаться

Источник: https://nalog-nalog.ru/personalnye_dannye/polozhenie_o_personal_nyh_dannyh_rabotnikov_-_obrazec/