Правила защиты персональных данных. Положение о защите персональных данных работников

Содержание
  1. Трудовой кодекс РФ. Глава 14. Защита персональных данных работника
  2. Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты
  3. Статья 87. Хранение и использование персональных данных работников
  4. Статья 88. Передача персональных данных работника
  5. Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
  6. Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
  7. Положение о защите персональных данных работников: для чего необходимо, что содержит, скачать образец на 2018 год
  8. Для чего необходимо положение о защите персональных данных
  9. Какие данные сотрудников являются персональными
  10. Что должно содержать положение о защите персональных данных в 2018 году
  11. Общие положения документа
  12. Список персональных данных работников
  13. Доступ к персональным данным
  14. Обязанности сотрудников, кто имеет доступ к персональным данным
  15. Права работников по операциям с персональными данными
  16. Защита персональных данных
  17. Положение о защите персональных данных работников: как правильно составить, как утвердить, скачать образец
  18. Общие положения
  19. Перечень персональных данных сотрудников
  20. Операции с персональными данными
  21. Обязанности работников с доступом к персональным данным
  22. Права работников в отношении операций с персональными данными
  23. Порядок утверждения положения о персональных данных сотрудников
  24. Ответственность за разглашение персональных данных
  25. 5 шагов по организации учета и хранения персональных данных
  26. Какие данные являются персональными
  27. Обработка персональных данных
  28. Организация учета и хранения персональных данных
  29. Подведем итоги
  30. Положение о персональных данных работников 2020: образец с приложениями
  31. Что такое положение о персональных данных работников?
  32. Для чего необходимо положение о персональных данных работников?
  33. Структура положения

Трудовой кодекс РФ. Глава 14. Защита персональных данных работника

Правила защиты персональных данных. Положение о защите персональных данных работников

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Статья 87. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).

Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона.

При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.

Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Источник: https://www.SuperJob.ru/trudovoj-kodeks/14-zaschita-personalnyh-dannyh-rabotnika.html

Положение о защите персональных данных работников: для чего необходимо, что содержит, скачать образец на 2018 год

Правила защиты персональных данных. Положение о защите персональных данных работников

Если хозяйствующий субъект оформляет трудовые соглашения с физлицами, ему приходится иметь дело со сведениями, которые являются их персональными данными.

Положениями нормативных правовых актов устанавливается, что на работодателя возлагается обязанность по защите данной информации.

Кроме этого, организация должна создать в качестве локального акта такой документ, как положение о персональных данных работников.

Для чего необходимо положение о защите персональных данных

Каждому предприятию в той или иной мере приходится иметь дело с персональными данными физлиц. В большинстве случаев этот процесс включает в себя сбор, хранение, обработку, а также с согласия физлиц, разглашение.

Хозяйственная деятельность компании требует, чтобы ее интересы представляли работники, а для этого приходится составлять различные документы, что приводит к разглашению третьим лицам информации, относимой в соответствии с законодательством к персональным данным.

Это может быть оформление доверенностей, составление заявления на открытие картсчета и т. д. Получается, что работодатель сталкивается одновременно с необходимостью разглашения информации и обязанностью, предусматривающую их защиту.

Найти решение данной проблемы компании позволяет разработанное в организации Положение о персональных данных. Этот акт адаптирует существующие нормы законодательства к особенностям деятельность субъекта хозяйствования.

Внимание: Положение о персональных данных должны разрабатывать все организации и ИП, которые выступают в трудовых отношениях в качестве работодателей. Закон устанавливает, что работодатель является оператором по обработке персональных данных и должен состоять на учете в качестве его в Роскомнадзоре.

Данный локальный норматив разрабатывается в том же порядке что и другие акты компании, имеющие регламентирующие функции. Утверждение Положения осуществляется по общим правилам. Обязанность по созданию его может взять на себя руководитель организации или возложить эти функции на кадровую службу.

Предварительный вариант Положения рекомендуется сначала согласовать с рядом специалистов, после этого направить на согласование с органами профсоюза, если они есть на предприятии. Затем директор издает приказ на утверждение данного

Положения и вводит его в действие. Важно помнить, что с Положением следует ознакомить каждого сотрудника компании, а также всех кто будет поступать на работу в организацию после его введения в действие.

Подтвердить ознакомление работников с Положением можно с помощью специальных журналов, в которых они должны проставить свои визы или с использованием ознакомительных листов.

Внимание: положение по ПД обязательно должно включать в себя согласие на обработку персональных данных. Этот документ заполняется работником при необходимости.

В нем работник разрешает работодателю работать с его личными данными и в определенных в этом бланке случаях разглашать сведения третьим лицам. Часто такой документ просят заполнить сотрудника компании, когда производиться оформление ему доверенности, запрашиваемой им справки.

Нужно помнить, у работника существует право отозвать данное согласие в любой момент времени.

Какие данные сотрудников являются персональными

Законодательно закреплено что относится к персональным сведениям работника. Это может быть информация как напрямую затрагивающая его, так и косвенно.

В состав персональных данных включаются:

  • Полные Ф.И.О. сотрудника.
  • Информация о месте и времени рождения физлица.
  • Адрес его фактического проживания, а также адрес по прописке.
  • Информация о семейном, социальном, а также имущественном положении сотрудника.
  • Информация о получаемых сотрудником компании доходах.

Помимо закона о ПД существуют нормы трудового права, устанавливающие, что к персональным данным, которые работодатель должен защищать, следует относить все сведения, позволяющие идентифицировать человека как работника фирмы.

Таким образом данный список расширяется такими данными о работнике как состояние его здоровья (при существовании вредных и опасных условий работы), квалификация, образование, специализация, существование у него детей и т. д.

Внимание: данная информация не является строго закрытым списком, она может пополняться различными сведениями. На предприятии категории информации, относимой к персональным данным, обязательно фиксируются в Положение о ПД. Если она пополняется новыми данными, соответствующие коррективы нужно внести и в локальный акт предприятия.

Также существует перечень информации, которую запрещено запрашивать в любых обстоятельствах, поскольку она включена в состав личной.

К такой относится, например, сведения о национальности или вероисповедании. При попытке узнать данную информацию это будет расцениваться как попытка вмешательства в личную жизнь гражданина.

Что должно содержать положение о защите персональных данных в 2018 году

Действующие нормативные акты не устанавливают, какие именно разделы или сведения должны быть отражены в таком Положении. Также нигде не указываются критерии, по которым необходимо производить его оформление.

Обычно при подготовке этого акта используются требования закона о персональных данных, а также общепринятые нормы оформления внутренних актов в компаниях.

Общие положения документа

В данном разделе указываются цели, которые преследуются при его составлении. Здесь же нужно сделать отсылки к законам и иным нормативным актам в области защиты персональных данных. Также здесь нужно писать каким образом положение должно быть введено в действие, и как в него будут вноситься изменения.

Список персональных данных работников

Этот раздел является одним из самых важным во всем положении. Именно здесь будет указано, какие конкретные персональные данные будут подпадать под защиту.

Производить составление данного раздела лучше всего после того, как от работников будут получены все необходимые документы, а также проведен анализ содержащейся там информации.

Внимание: в этом же разделе можно указать внутренние документы компании, в которых могут также находиться персональные данные работников, а потому они также должна подлежать защите.

В этом разделе указываются структурные подразделения либо конкретные лица, которые получают право на доступ к персональным данным. Здесь де необходимо описать, на каких носителях и в каком случае могут храниться данные в субъекте бизнеса — к примеру, в виде бумажных распечаток, в виде электронной базы данных и т.д.

Доступ к персональным данным

В данном разделе описываются методы, при помощи которых персональные данные работников, имеющиеся в субъекте бизнеса, могут быть переданы другим работникам без соответствующих полномочий. Также в этом разделе необходимо описать, при следовании какого порядка происходит передача имеющихся данных в сторонние организации, госорганы, третьим лицам.

Обязанности сотрудников, кто имеет доступ к персональным данным

В данном разделе описываются действия, которые должны выполнять работники, имеющие доступ к персональным данным остальных сотрудников субъекта бизнеса.

Права работников по операциям с персональными данными

В данном разделе необходимо описать права сотрудников, которые передали организации свои персональные данные, а также права тех работников, какие имеют доступ к этим данным во время выполнения своих обязанностей.

Защита персональных данных

Здесь необходимо описать, как именно и в каком месте компании хранятся полученные персональные данные.

Также нужно подробно описать, какими именно способами происходит защита персональных данных на бумажных носителях — например, хранение в архивных шкафах с замками, установка кодового замка на двери архива и т. д.

Важно: также отдельно необходимо указать, где хранятся и как именно происходит защита данных, расположенных на электронных носителях.

Процедура составления и ввода в действие данного внутреннего акта не зависит от процедуры любого другого локального документа.

Если в организации сформирован орган профсоюза, то вводить документ в действие можно только после согласования с этим органом. Проект документа передается туда, где в течение 5 дней должно пройти его рассмотрение. По завершении этого срока профсоюз должен в письменном виде высказать мнение о нем.

Орган может высказать отрицательное мнение, т. е. не согласиться с нормами документа. Тогда вместе с мнением предоставляются рекомендации по его изменению.

Администрация фирмы может принять предлагаемые изменения либо в срок трех дней инициировать дополнительные переговоры.

Внимание: даже если после их проведения противоречия остались неразрешимыми, стороны составляют и подписывают протокол разногласий. После этого шага администрация фирмы может принять документ в том виде, как он существует. Однако при возникновении спорных ситуаций профсоюз может оспорить ее через суд.

Если в компании нет профсоюза, но сформирован иной орган, который представляет интересы работников, то проводить согласование необходимо с ним.

Когда профсоюз вообще не сформирован, администрация вводит документ в действие самостоятельно при помощи подготовки приказа.

В этом распоряжении устанавливается дата, с которой положение начинает действовать, определяются ответственные лица по контролю за соблюдением документа, производится отмена старого положения (если новое создается взамен старого).

Внимание: если в приказе не проставить дату ввода положения в действие, то оно обретет силу с момента подписания распоряжения.

Последние серьезные изменения в закон о персональных данных вносились в 2017 году. Тогда были существенно расширены причины, по которым можно было получить штраф, а также изменились размеры самих штрафов.

В случае, когда сбор персональных данных производится не для целей, указанных в законе, либо производится их обработка неразрешенными методами, это может быть наказано предупреждением либо наложением штрафов:

  • На граждан 1-3 тысячи рублей;
  • На должностных лиц 5-10 тысяч рублей;
  • На компанию 30-50 тысяч рублей.

Если у субъекта, который получил персональные данные, нет согласия на их обработку от владельца, хотя оно обязательно должно быть получено, то за это может накладываться штраф:

  • На граждан 3-5 тысяч рублей;
  • На должностное лицо 10-20 тысяч рублей;
  • На компанию 15-75 тысяч рублей.

Внимание: также штраф может быть наложен за то, что субъект бизнеса не опубликовал в свободном доступе Положение о персональных данных, где указываются методы по получению, обработке и хранению данных.

Его размер составит:

  • На граждан от 700 руб до 5 тысяч рублей;
  • На должностное лицо 3-6 тысяч рублей;
  • На предпринимателя 5-10 тысяч рублей;
  • На компанию 15-30 тысяч рублей.

Если оператор данных не предоставил владельцу данных подробную информацию о том, каким образом будет проходить обработка данных, это будет наказано:

  • На гражданина предупреждение или штраф 1-2 тысяч рублей;
  • На должностное лицо 4-6 тысяч рублей;
  • На предпринимателей 10-15 тысяч рублей;
  • На организацию 25-40 тысяч рублей.

Локальные нормативные акты

Источник: https://litebuh.ru/dokumenty/polozhenie-o-zaschite-personalnyh-dannyh.html

Положение о защите персональных данных работников: как правильно составить, как утвердить, скачать образец

Правила защиты персональных данных. Положение о защите персональных данных работников

Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами — физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите. Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников.

Общие положения

Этот раздел должен содержать цели составления документа, иметь ссылки на законы и другие нормативные акты по работе с персональными данными. Еще здесь нужно описать процесс введения положения в действие, и как именно будут в него вноситься изменения.

Перечень персональных данных сотрудников

Это один из самых важных разделов в положении, поскольку именно он будет определять, какие именно сведения подпадают под понятие персональных.

Составлять этот раздел лучше всего только после того, как от работников получены все необходимые документы и проведен их анализ на предмет содержащихся в них сведений.

Здесь же можно описать внутренние документы, в которых могут содержаться личные данные, и какие также должны подлежать защите.

Операции с персональными данными

В этом разделе нужно описать какие подразделения, либо конкретные лица, получают право на работу с персональными данными. Также здесь нужно конкретно указать носители, на которых могут храниться данные (например, в виде распечаток на бумаге, в электронном виде в базе данных и т.д.)

Обязанности работников с доступом к персональным данным

В этом разделе нужно описать какие именно действия обязаны выполнять работники, допущенные к личным данным сотрудников компании.

Права работников в отношении операций с персональными данными

Здесь описываются права работников, которые передали компании свои персональные сведения, и тех, кто обладает доступом к таким сведениям в процессе выполнения обязанностей.

Порядок утверждения положения о персональных данных сотрудников

Порядок разработки и принятия у данного положения точно такой же, как и у любого другого внутреннего акта предприятия.

Если в компании сформирован профсоюз, то принятие положения должно производиться только после его согласования с данным органом.

Проект документа нужно передать в профсоюз, у которого есть пять дней на его рассмотрение. По истечении этого срока орган должен в письменном виде представить свое мнение о нем.

Мнение органа может выражать несогласие с представленным документом. В этой ситуации вместе с выражением мнения предоставляются предложения по изменению положения. Администрация должна либо принять предлагаемые изменения, либо в срок трех дней провести с органом дополнительные обсуждения.

Если даже после этого согласие достигнуто не было, то обе стороны составляют и подписывают протокол разногласий. После этого шага администрация имеет право принять документ в том виде, как он предлагается. Но надо помнить, что профсоюз при возникновении спорной ситуации может обжаловать принятие положения в суде либо через трудинспекцию.

Если профсоюзный орган в организации не сформирован, но есть другой, представляющий интересы рабочих, то проводить согласование положения нужно с ним.

Если профсоюза нет вообще, то администрация вводит Положение о персональных данных в действие самостоятельно, принимая необходимый приказ. В этом распоряжении нужно проставить дату, с которой нормативный акт начинает действовать, определить ответственных лиц за соблюдение его, отменить предыдущий нормативный акт (если новое положение принимается взамен старого).

бухпроффи

Важно! Если в приказе не указана дата начала действия, то положение приобретает силу с даты подписания распоряжения.

Ответственность за разглашение персональных данных

C 1 июля 2017 года начали действовать поправки к законам и КОАП, которые касаются работы с личными данными. Среди них было существенное увеличение штрафов за нарушения в сфере обработки и хранения сведений о людях.

Закон о персональных данных с 1 июля 2017 года предусматривает следующие штрафы:

  • Так, если производится сбор персональных данных в не предусмотренных законом случаях, либо выполняется обработка несовместимая с целями, указанными в законе, это наказывается предупреждением либо штрафом для простых граждан в сумме 1-3 тыс. р., для должностных лиц — 5-10 тыс. р., для предприятий — 30-50 тыс. р.
  • Если у субъекта, получившего персональные данные, нет согласие на обработку персональных данных от их владельца, хотя оно обязательно должно быть получено, влечет наложение штрафа на граждан в сумме 3-5 тыс. р, на должностных лиц — 10-20 тыс. р., на организации — 15-75 тыс. р.
  • Также поправками была введена ответственность за то, что оператор не опубликовал в открытом доступе документ, описывающий его политику по получению, обработке и хранению личных данных. Это действие влечет за собой штраф на граждан от 700 до 5 тыс. р., на должностных лиц — 3-6 тыс. р., на предпринимателя — 5-10 тыс. р., на организацию — 15-30 тыс. р.
  • Если оператор данных не предоставляет владельцу сведения о том, каким образом производится обработка его данных, влечет наложение на граждан предупреждения либо штрафа в сумме 1-2 тыс. р., на должностных лиц — 4-6 тыс. р., на предпринимателей — 10-15 тыс. р, на компании — 25-40 тыс. р.

Источник: https://buhproffi.ru/dokumenty/polozhenie-o-zashhite-personalnyh-dannyh.html

5 шагов по организации учета и хранения персональных данных

Правила защиты персональных данных. Положение о защите персональных данных работников

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://School.Kontur.ru/publications/1583

Положение о персональных данных работников 2020: образец с приложениями

Правила защиты персональных данных. Положение о защите персональных данных работников

Обязательным документом для каждой компании является положение о персональных данных, в котором устанавливаются правила обращения со сведениями о работниках.

Что такое положение о персональных данных работников?

Работа с персональными данными работников регулируется внутренним документом организации – соответствующим Положением. Обязательность его наличия обусловлено требованием ст. 87 ТК .

Все действия, связанные с получением, обработкой, изменением и т.д. данных индивидуального характера, подчиняются нормативам Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Закон).

Пункт 2 часть 1 статья 18.1 Закона дает понятие персональным данным (далее ПД), к которым относят любую информацию, касающуюся субъекта прямо или косвенно, позволяющего идентифицировать его. Если говорит о работнике, как субъекте ПД, то работодатель использует следующие параметры:

  • фамилия, имя и отчество;
  • информация о рождении: место и дата;
  • данные паспорта;
  • ИНН;
  • СНИЛС;
  • адрес по прописке и фактического проживания;
  • сведения об образовании;
  • информация о стаже работы.

Все данные заносятся в личное дело сотрудника и пополняются в течение трудовой деятельности иной информацией персонального характера. Для организации работы, работодатель должен разработать Положение, в котором закрепить порядок и правила получения, хранения, использования полученных ПД работников.

Для чего необходимо положение о персональных данных работников?

Согласно положений Закона № 152-ФЗ, работодатель при приеме граждан на работу становится оператором обработки их личных данных. Это значит, что он берет на себя ответственность по сбору, хранению, обработке и иных действий в отношении получаемых сведений и вправе осуществлять их при помощи средств автоматизации или без них.

Работодатель обязан хранить личные дела своих сотрудников в соответствии со ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ и затем передавать их на хранение в архив. Чтобы не допустить утечку персональных данных, должен быть применен комплексный подход к этой работе. Для чего необходимо составить и утвердить соответствующее Положение.

Структура положения

Каждая организация вправе самостоятельно разработать Положение, законодатель не устанавливает его строгой формы. Обязательным является наличие следующих разделов:

Раздел должен содержать цели, для которых документ составлен, а также перечисление данных, которые относятся к персональным. Все формулировки можно перенести из ст. 3 Закона.

  1. Основные понятия и состав персональных данных.

Руководствуйтесь при составлении этого раздела ст. 3 Закона. Укажите также документы работников, в которых содержатся их ПД:

  • документы, на основании которых оформляется трудовой контракт;
  • трудовые книжки;
  • личные дела работников;
  • отчетность налоговая, статистическая и т.д.;
  • приказы по организации и их копии.
  1. Обработка персональных данных.

Перечислите все условия, которые необходимо соблюдать при обращении с ПД. Соотнесите их с теми, что указаны в ст. 6 Закона.

  1. Передача персональных данных.

Определите правила передачи и получения ПД как внутри организации, так и третьим лицам. Здесь же укажите, как и где они хранятся (обычно это отдел кадров и бухгалтерия, где сведения о работниках хранятся в бумажном и электронном виде).

  1. Доступ к персональным данным.

Доступ к ПД сотрудников строго ограничен кругом лиц, которые используют их в процессе осуществления своих должностных полномочий. Перечислите должности, кто вправе получать и обрабатывать такие сведения, и их действия с ПД.

  1. Ответственность за нарушение норм в отношении обработки и защиты персональных данных.

Закрепите меру ответственности за работниками в случае нарушений правил данного Положения. Степень ответственности избирается в соответствии со ст. 90 ТК РФ.

Положение о персональных данных вводится в действие на основании приказа руководителя.

Обязательным является ознакомление с текстом Положения всех сотрудников организации, в том числе вновь принимаемых (ч. 2 ст. 22, ст. 68 ТК). Подтверждается этот факт одним из способов:

  • личной подписью в трудовом договоре, где содержится отсылка на действующее Положение;
  • личной подписью в листе ознакомления к Положению или журнале ознакомлений с приказами и распоряжениями.

При несоблюдении порядка обращения с персональными данными, если отсутствует Положения или не ознакомлен сотрудник с ним, руководитель может быть привлечен к административной ответственности в соответствии со ст. 5.27 КоАП.

Скачать образец положения о персональных данных работников 2020 года

Источник: https://trudtk.ru/priem-na-rabotu/polozhenie-o-personalnyh-dannyh-rabotnikov/

Юрист ответит
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: