Положение о защите персональных данных работников в организации: порядок обработки, перечень, образец

Приказ об утверждении положения о персональных данных

Приказ об утверждении положения о персональных данных – относительно новый кадровый документ, который обязан составлять работодатель во исполнение требований законодательства о защите личной информации. Этот документ позволяет обеспечить порядок в организации документооборота предприятия и осуществлять законную обработку личной информации о сотрудниках.

Правовая основа

Принимая на работу сотрудника, работодатель получает от него следующие данные личного характера:

  • Ф.И.О.;
  • адрес регистрации и места проживания;
  • серию и номер паспорта;
  • номер свидетельства ИНН;
  • СНИЛС;
  • о количестве детей, датах их рождения;
  • о семейном положении;
  • о предыдущей работе, сроках, причинах увольнения.

Согласно ст. 86-90 ТК РФ организация-работодатель должна придерживаться правил:

  • обработки личной информации сотрудников;
  • хранения и пользования данными;
  • передачи личных данных работников.

На основании ФЗ «О персональных данных» работникам предоставляется право требовать защиту сообщаемых работодателю сведений. Для обеспечения надлежащей работы с личными данными сотрудников каждая организация разрабатывает Положение о персональных данных работников. В этом документе устанавливаются:

  • какие сведения относятся к категории «персональных»;
  • кто имеет доступ к сведениям работников личного характера;
  • как осуществляется сохранность персональных данных (на каком носителе);
  • в каком порядке происходит обработка информации;
  • где фиксируются сведения о сотрудниках (оформляются ли личные дела, карточки, ведутся ли списки и т.д.);
  • на каких основаниях и кому могут передаваться данные о работнике;
  • как защищается доступ к данным (закодирована ли электронная информация, устанавливается ли сейф для материальных носителей);
  • порядок его утверждения и изменения.

Приложение может включать образцы заявлений работников:

  • о согласии с обработкой своих личных данных;
  • о согласии получения дополнительных сведений в отношении работника.

Типовой вариант такого документа по указанию руководства может быть разработан:

  • специалистом по кадрам;
  • юристом компании;
  • помощником руководителя.

Положение о персональных данных является принадлежащим к категории локальных актов предприятия. Его структура не должна противоречить действующему законодательству РФ.

Работодатель обязан не просто разработать документ, регламентирующий порядок хранения и использования информации о сотрудниках, он должен ввести его в действие. Именно для этого работодателем составляется распоряжение об утверждении разработанного положения.

Содержание приказа

Приказ должен включать в себя следующие элементы:

  1. Вводную часть, в которой будет указываться:
    • наименование работодателя;
    • номер, название и дата приказа;
    • город места составления;
    • основания вынесения.
  2. Основную часть, в которой прописываются:
    • факт утверждения положения по личным данным работников;
    • срок, с которого положение вводится в действие;
    • должностное лицо, допущенное к работе с личной информацией;

  • степень полноты допуска должностных лиц к сведениям.
  • Заключительную часть, которая содержит:
    • указание ответственного за выполнение приказа лица;
    • обязанность довести до сведения работников положения о персональных данных, взять их согласие в письменной форме на обработку сведений;
    • подпись руководителя или надлежащим образом уполномоченного заместителя;
    • дату ознакомления и подпись должностного лица, ответственного за выполнение распоряжения.
  • Только после утверждения Положения об обращении с данными работников оно вступает в силу и должно быть доведено до всеобщего сведения под роспись. Для действующих сотрудников подпись проставляется в журнале (реестре) ознакомления. Соответствующий пункт об ознакомлении для новых сотрудников включается в трудовой договор. В качестве отдельного документа целесообразно составить согласие на обработку личных данных, которое должно быть подписано всеми работниками.

    Ошибки

    При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:

    1. При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
      • до 70 тысяч рублей (для юридического лица);
      • до 5 тысяч рублей (для ИП).

    Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей. При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор). При повторном нарушении соответствующий работник может быть уволен.

  • В документе установлена обязанность представления сотрудником информации о состоянии здоровья, о религиозных или политических предпочтениях, что является незаконным. Исключение составляют случаи, когда получение таких данных:
    • обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
    • необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
    • производится с добровольного согласия работника, предоставленного в письменном виде.
  • Читайте также:
    Чем отличается реальная среднемесячная заработная плата от номинальной начисленной: индекс и формула

    Сроки хранения документов

    В соответствии с ФЗ «О персональных данных» работодатель должен хранить все локальные акты об обращении с информацией в отношении работников в течение всего срока своей деятельности. Таким образом, наряду с Положением, в организациях постоянно должен храниться и приказ о его утверждении.

    Приказ Министерства культуры России от 25.08.2010 №558 устанавливает, что сами сведения в отношении работников, в том числе личные дела, заявления, личные карточки, хранятся в течение 75 лет, в отношении руководителей – постоянно. Результаты обработки информации о среднем возрасте, об образовании, стаже сотрудников государственной службы хранятся постоянно.

    Разработка положения о персональных данных работников

    Положение о персональных данных сотрудников — это внутренний локальный акт организации, наличие которого — в фокусе проверок, проводимых Роскомнадзором. Поэтому многие компании озадачены вопросом о том, как разработать положение о защите персональных данных (2020), если такого документа у них ранее не было. В статье расскажем, на что нужно обратить особое внимание при его разработке, чтобы не допустить нарушения законодательства.

    Если я нарушаю закон

    Работодатели массово стали получать письма из Роскомнадзора с предупреждением о том, что при проверке компании могут получить серьезные штрафы за нарушение норм закона ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — Закон). По нему работодатель обязан гарантировать защиту такой информации от противоправного доступа и использования третьими лицами. Положение о работе с персональными данными работников помогает решить эти задачи.

    С 23 февраля 2020 года вступило в силу Постановление Правительства от 13.02.2019 № 146, которым утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Согласно документу, плановые проверки будут проводиться раз в 2-3 года, а перечень компаний, подлежащих контролю можно будет заранее увидеть на сайте Роскомнадзора. Как и в случае с другими видами контроля, о запланированном визите инспекторы должны будут предупредить. Если плановая проверка, то известить о ней должны за 3 рабочих дня, а если внеплановая — за 24 часа.

    За нарушение Закона предусмотрена дисциплинарная, материальная, административная и уголовная ответственность. Контролирующие органы могут привлечь к административной ответственности по ст. 13.11 и 13.14 КоАП, штрафы составляют:

    • для должностных лиц: от 500 до 1000 рублей;
    • для организации: от 5000 до 10 000 рублей;
    • для должностных лиц, в связи с исполнением служебных или профессиональных обязанностей: от 4000 до 5000 рублей.

    Наиболее распространенными нарушениями, по данным инспекторов, являются обработка персоданных без согласия их владельца либо с нарушениями, невыполнение требования об уничтожении личной информации, нарушение условий хранения таких сведений.

    Читайте также:
    Должностная инструкция столяра: обязанности, разряды

    Что такое персональные данные

    Это любая информация, необходимая работодателю при установлении трудовых отношений, которая касается сотрудника. Например, фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

    Примерами документов, включающих личные данные, могут служить:

    • карточка сотрудника, содержащая Ф.И.О. лица, сведения о составе семьи, образовании;
    • трудовая книжка со стажем с предшествующих мест работы;
    • дипломы, сертификаты об образовании;
    • трудовой договор.

    Запрещено получать и обрабатывать данные, которые не относятся напрямую к трудовой деятельности. К примеру, сведения о вероисповедании, национальной, политической принадлежности. Данная информация получается исключительно от самих сотрудников. Эти условия должны быть включены в положение об обработке и защите персональных данных. Работодатели обязаны уведомить работника и получить от него письменное согласие на обработку, хранение, использование и распространение его данных.

    Храните данные правильно

    Личные данные сотрудников содержатся в их личных карточках и личных делах. Законодательство обязывает каждое конкретное предприятие разрабатывать правила использования и хранения данных о своих работниках.

    Положение о защите персональных данных может быть как отдельным документом, так и разделом, включенным в действующие Правила внутреннего трудового распорядка.

    Чтобы сохранить конфиденциальность информации о людях, работающих в организации, составляется список должностных лиц, имеющих к ней доступ. Приказом назначается ответственный за сбор, хранение и обработку конфиденциальных данных. Работники, руководители, генеральный директор предприятия подписывают Соглашение о неразглашении.

    Информация о персональных данных сотрудников на предприятии может храниться как в бумажном, так и в электронном виде. В наше время такая информация чаще всего хранится смешанным способом.

    Образец положения о персональных данных работников (2020) и его разработка

    На первом этапе разработки нужно определить, какие данные используются в компании, как их получают, хранят, обрабатывают.

    Для оформления организационных документов используют общие правила: в заголовке указывают наименование организации, дату и номер документа, в правом верхнем углу располагают гриф утверждения.

    В положение включают следующую информацию:

    • цели и задачи предприятия при работе с конфиденциальными данными;
    • перечни таких данных;
    • описание операций с данными, которые часто используются на предприятии;
    • способы доступа к данным;
    • перечни и обязанности персонала фирмы при использовании информации;
    • права сотрудников фирмы на доступ к информации;
    • ответственность работников предприятия за разглашение информации.

    Положение утверждается приказом руководителя компании. Образец положения об обработке персональных данных работников должен быть доступен всем сотрудникам для ознакомления. Им следует поставить свою подпись в листе или журнале ознакомления, который, как правило, заводит кадровая служба работодателя. Журнал представляет собой перечень работников компании, где каждый ставит подпись после прочтения этого локального акта.

    Положение о персональных данных работников – образец 2021 года

    • Что такое персональные данные
    • Для чего нужно положение о работе с персональными данными
    • Положение о персональных данных работников: структура документа
    • Где можно скачать образец положения об обработке персональных данных работников
    • Итоги

    Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.

    Что такое персональные данные

    Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

    Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

    Читайте также:
    Алименты на содержание жены (бывшей супруги) до 3 лет при разводе: размер алиментов на супругу до трех лет, заявление на взыскание

    Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

    Как составить согласие на обработку персональных данных, смотрите в здесь.

    Для чего нужно положение о работе с персональными данными

    Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников. Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

    Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты КонсультантПлюс. Получите пробный доступ к системе и переходите в материал.

    Какая статья КоАП РФ предусматривает штраф за нарушения при обработке персональных данных, узнайте по ссылке.

    Положение о персональных данных работников: структура документа

    Рассматриваемый документ содержит локальные нормы, определяющие:

    • цели и задачи фирмы при работе с персональными данными;
    • перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
    • описание операций с данными, практикуемых компанией;
    • способы доступа к данным, используемые в фирме;
    • обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
    • права сотрудников фирмы на приобретение санкционированного доступа к данным;
    • правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

    Персональные данные без штрафов Время прохождения около 5 мин. Пройти тест

    Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

    • устанавливающим общие положения документа;
    • фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
    • определяющим перечень ключевых операций с персональными данными;
    • регламентирующим осуществление соответствующих операций;
    • определяющим порядок доступа работников фирмы и иных лиц к данным;
    • устанавливающим обязанности сотрудников, участвующих в операциях с данными;
    • устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
    • определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

    Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

    Где можно скачать образец положения об обработке персональных данных работников

    Загрузить актуальный для 2021 года образец внутрикорпоративного положения об операциях с подобными данными вы можете на нашем портале. Для вас доступен источник, соответствующий структуре, рассмотренной нами выше.

    Итоги

    Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

    Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

    Образец положения о персональных данных работников

    • Как заполнить декларацию госслужащих за 2021 год
    • Как составить заявление на материальную помощь к отпуску
    • Пособие по безработице в 2022 году: размер и порядок оформления выплаты
    • Убыток в декларации по налогу на прибыль
    • Каким будет прожиточный минимум в 2022 году
    Читайте также:
    Профстандарт юристконсульта: в социальном учреждении и сфере

    Что такое персональных данные

    Федеральный закон от 27.07.2006 №152-ФЗ определяет персональные данные как любую информацию, прямо или косвенно относящуюся к субъекту или позволяющую его идентифицировать (п.1 ст. 3). При этом законодательный акт не содержит разъяснения, какие именно сведения о физическом лице включает в себя данное понятие. В контексте трудовых отношений к ним, как правило, относятся:

    • ФИО;
    • дата рождения;
    • паспортные данные;
    • адрес регистрации и проживания;
    • ИНН;
    • номер СНИЛС;
    • информация об образовании и трудовом стаже.

    Это лишь минимальный перечень сведений о себе, которые человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника.

    Для чего нужно положение о работе с персональными данными

    Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных. Иными словами, работодатель осуществляет сбор, хранение, систематизацию, накопление и обновление информации, касающейся работников. Работа с личными данными ведется как с использованием средств автоматизации, так и без их применения. Обработка конфиденциальных сведений осуществляется не только в период сотрудничества, но и после его завершения, на стадии архивирования. Ст. 22.1 Федерального закона от 22 октября 2004 г. № 125-ФЗ “Об архивном деле в Российской Федерации” обязывает организации хранить личные дела работников в течение 75 лет. На всех этапах обработки личных сведений работодатель обязан предотвращать передачу их третьим лицам при отсутствии на то законных оснований. Комплекс соответствующих мер должен быть задокументирован как положение о работе с персональными данными работников.

    Структура положения о персональных данных

    Составляя положение о защите персональных данных 2020, рекомендуется придерживаться следующей структуры:

    Раздел Содержание
    1 Основные положения Цели документа, законы, порядок утверждения
    2 Основные понятия Определения понятий, упортребляемых в документе
    3 Состав персональных данных работников Перечень личных сведений
    4 Обработка данных Условия обработки информации
    5 Комплекс документов Перечень документов, содержащих личные сведения
    6 Доступ к персональным данным Порядок внешнего и внутреннего доступа к информации
    7 Защита персональных данных Комплекс мер для обеспечения безопасности конфиденциальных сведений
    8 Права и обязанности работника Права работника в отношении обработки данных, обязанность по своевременному уведомлению об их изменении
    9 Ответственность за разглашение информации Разъяснение ответственности за нарушение сохранности информации в соответствии с законодательством

    Как ввести в действие положение об обработке и защите персональных данных 2020

    На этапе разработки документа его содержание следует согласовать с руководителями отделов, задействованных в обработке данных, и юридической службой. Готовый локальный нормативный акт утверждается приказом руководителя организации. Приказ также издается в случае внесения изменений в текст документа. Если по каким-либо причинам положение о защите личных данных отсутствует на предприятии, необходимо незамедлительно его оформить и довести его содержание до всех работников. Сотрудники, принимаемые на работу, должны прочесть положение до подписания трудового договора. Подтверждение ознакомления с текстом оформляется на усмотрение работодателя. Наиболее удобный способ – ведение журнала ознакомления с локальными нормативными актами. При необходимости работник может сколько угодно раз обращаться за текстом документа. Чтобы упростить данную процедуру, рекомендуется выложить образец положения об обработке персональных данных работника в ресурсы корпоративного электронного доступа.

    Читайте также:
    Зарплата крановщика в Москве, Санкт-Петербурге и других регионах России: сколько получает крановщик башенного крана, работа высотника и машиниста автокрана, сколько в среднем зарабатывает крановщик

    Как оформить Положение о защите персональных данных сотрудников

    Работодатель обязан обеспечить защиту персональных сведений о своих работниках. Такое требование содержит Трудовой кодекс РФ (глава 14).

    Что считать персональными данными

    Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:

    • паспортные данные;
    • семейное положение;
    • сведения об образовании;
    • номер страхового свидетельства обязательного пенсионного страхования;
    • сведения о трудовой деятельности и др.

    Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку №Т_2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

    Понятие персональных данных содержит Перечень сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г.№188 «Об утверждении сведений конфиденциального характера»). Это сведения о фактах, событиях и обстоятельствах частной жизни человека. Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника.

    Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника. При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.

    Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.

    Главная цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.

    Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно только в двух случаях:

    • это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
    • это предусмотрено в федеральном законе (например, ст. 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур).

    Обратите внимание: не допускается передача личных сведений о работнике с коммерческой целью (ст. 88 ТК РФ).

    Какие сведения указывают в Положении о защите персональных данных

    Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных. Это внутренний (локальный) документ фирмы, его разрабатывает кадровая служба.

    Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника Трудовой кодекс РФ.

    В Положении должны быть указаны:

    • цель и задачи фирмы в области защиты персональных данных;
    • понятие и состав персональных данных;
    • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
    • как происходит сбор персональных данных;
    • как они обрабатываются и используются;
    • кто (по должностям) в пределах фирмы имеет к ним доступ;
    • как персональные данные защищаются от несанкционированного доступа;
    • права работника в целях обеспечения защиты своих персональных данных;
    • ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

    Кто утверждает Положение о защите персональных данных

    Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя.

    Вот примерный образец приказа:

    Положение о защите персональных данных работников может выглядеть так:

    Читайте также:
    Должностная инструкция и обязанности профессии бармена в кафе, ресторане: как стать им, что должен знать, зарплата

    Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к Положению.

    В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике.

    Помимо кадровиков доступ к этим сведениям могут получить руководители структурных подразделений (например, главный бухгалтер, начальники отделов). Однако они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев).

    Оформляют приложение так:

    Правила ознакомления сотрудников с Положением о персональных данных

    Работодатель обязан ознакомить работника с Положением о защите персональных данных, а работник – расписаться в этом.

    Факт ознакомления обычно оформляют распиской, которая остается у работодателя. Вот ее образец:

    ПРАКТИЧЕСКАЯ ЭНЦИКЛОПЕДИЯ БУХГАЛТЕРА

    Полная информация о правилах учета и налогах для бухгалтера.
    Только конкретный алгоритм действий, примеры из практики и советы экспертов.
    Ничего лишнего. Всегда актуальная информация.

    Документы по персональным данным необходимые в 2022 году

    Как еще может называться данный документ:

    • Политика обработки персональных данных
    • Политика в отношении обработки данных
    • Privacy policy

    Зачем нужен документ:

    Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

    Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

    Как еще может называться данный документ:

    • Согласие на распространение персональных данных

    Зачем нужен документ:

    Согласие на распространение персональных данных оператор должен оформлять отдельно от иных согласий субъекта на обработку его персональных данных. Перед оформлением такого согласия оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой из категории, указанной в этом согласии. То есть оператор предоставляет субъекту список – какие именно его персональные данные будут обрабатываться (например, при приеме на работу будут обрабатываться паспортные данные, Ф.И.О., адрес и т.д.). Из списка субъект должен выбрать те данные, которые можно распространять.

    Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.

    Как еще может называться данный документ:

    • Согласие на обработку персональных данных
    • Согласие пользователя

    Зачем нужен документ:

    Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

    Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

    Как еще может называться данный документ:

    • Правила обработки персональных данных

    Зачем нужен документ:

    Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

    Читайте также:
    Может ли отец получить материнский капитал в 2021 году: как оформить и воспользоваться маткапиталом папе

    Зачем нужен документ:

    Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

    Зачем нужен документ:

    Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

    Зачем нужен документ:

    Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

    Как еще может называться данный документ:

    • Правила рассмотрения запросов субъектов персональных данных или их представителей

    Зачем нужен документ:

    Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

    Зачем нужен документ:

    Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

    Как еще может называться данный документ:

    • Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

    Зачем нужен документ:

    Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:

    – Постановление Правительства РФ от 01.10.2012 г. №1119
    – Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
    – Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

    Как еще может называться данный документ:

    • Поручение обработки персональных данных
    • Договор на обработку персональных данных
    • Договор обработки персональных данных
    • Дополнительное соглашение на поручение обработки персональных данных

    Зачем нужен документ:

    От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

    С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

    Зачем нужен документ:

    Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

    На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

    Зачем нужен документ:

    Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

    Зачем нужен документ:

    Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

    Зачем нужен документ:

    Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

    Читайте также:
    Как ИП получить декретные выплаты, пособия индивидуальным предпринимателям в декрете

    Как еще может называться данный документ:

    • Перечень информационных систем персональных данных

    Зачем нужен документ:

    В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

    Как еще может называться данный документ:

    • Приказ об определении границ контролируемой зоны и требований к ее безопасности

    Зачем нужен документ:

    Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

    Персональные данные работников: как работодателю не нарушить закон

    У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

    Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

    Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

    Основная информация о персональных данных:

    Глава 14 Трудового кодекса РФ

    Закон № 152-ФЗ О персональных данных

    Положение об особенностях обработки персональных данных без средств автоматизации

    Каких работодателей касаются правила о персональных данных

    Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

    Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

    Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

    Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

    Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

    Что такое персональные данные работника

    Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

    Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

    Вот список для ориентира:

    Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

    Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

    Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

    Фото работника — например, на пропуск.

    Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

    Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

    Новым ИП — год Эльбы в подарок

    Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев

    Читайте также:
    Что включает списочная численность работников предприятия: предельный и среднесписочный состав

    Что будет за нарушение закона о персональных данных

    За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

    Административная ответственность: штрафы

    Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

    Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

    Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

    Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

    Гражданско-правовая ответственность: моральный вред работнику

    Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

    Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

    Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

    Уголовная ответственность

    В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.

    В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

    Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

    Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

    Правила работы с персональными данными работника

    Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

    🔐 Персональные данные работника обрабатывают только с его письменного согласия.

    🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

    🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

    О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

    🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

    🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

    🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

    🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

    🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

    Как настроить работу с персональными данными: инструкция

    Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

    Читайте также:
    Соглашение об уплате алиментов: форма соглашения, образец заполнения, нотариальное заверение

    1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

    Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

    2. Назначьте ответственного за персональные данные.

    Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

    Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

    ИП и организации с одним учредителем ответственным назначают себя.

    3. Берите с каждого работника письменное согласие на обработку персональных данных.

    Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

    Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

    4. Храните документы с персональными данными в надёжном месте.

    Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

    Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

    Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

    5. Уничтожайте персональные данные полностью.

    Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.

    Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

    Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

    6. Если нужно, уведомляйте Роскомнадзор.

    По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

    Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

    Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

    А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

    Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

    7. Исполняйте требования закона не только формально.

    Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

    Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

    Статья актуальна на 09.02.2021

    Получайте новости и обновления Эльбы

    Подписываясь на рассылку, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от компании СКБ Контур

    Рейтинг
    ( Пока оценок нет )
    Понравилась статья? Поделиться с друзьями:
    Добавить комментарий

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: