Уже с 1 июля ответственность в сфере защиты персональных данных существенно увеличилась. А у вас в компании есть положение о защите персональных данных работников?

Из статьи вы узнаете:

Персональные данные работников

Как будет называться такой акт, принципиального значения не имеет, но, как правило, работодатель не изобретает что-то новое, а пользуется проторенной дорожкой и утверждает положение о защите персональных данных работников. Это наиболее распространенное наименование локального акта , регулирующего данные вопросы.

Что же относится к персональным данным? Обратившись к статье 3 Закона «О персональных данных», увидим, что к ним относится любая информация, прямо или косвенно относящаяся к физическому лицу. Это, как минимум:

фамилия, имя, отчество;

паспортные данные;

адрес прописки;

дата рождения.

Семейное положение, уровень доходов, место рождения, образование – эта информация также имеет прямое отношение физическому лицу, а, следовательно, признается персональными данными. Причем следует помнить, что закон исчерпывающего перечня этих данных не дает.

Теперь вспомним, какое множество документации работник предоставляет работодателю при оформлении на работу. Из копий этих документов формируется личное дело работника , на данные о работнике делаются ссылки в различных документах компании. Эту информацию работодатель обрабатывает, хранит, использует, передает. Все эти действия регламентированы законом, основной смысл которого – физическое лицо вправе самостоятельно определять, с кем делиться информацией о себе, а с кем нет. А компания-работодатель обязана уважать любое решение и обеспечивать сохранность той информации, которую работник предоставил.

Каким образом происходит сбор, обработка и сохранность информации о физических лицах – как раз и определяет внутренний локальный акт – .

Утверждение положения о защите персональных данных работников

В каком порядке разрабатывать и принимать данный документ, ни один закон нам не подскажет. Руководствоваться здесь следует общим порядком принятия любых локальных актов, где предусмотрено прохождение следующих стадий:

разработка проекта;

согласование его с необходимыми специалистами компании;

утверждение руководителем и введение в действие;

ознакомление всех работников с ним под роспись.

Как правило, обязанность по разработке Положения и поддержанию его в актуальном состоянии возлагается на сотрудников кадровой службы. Утверждается Положение приказом руководителя предприятия, составленном в произвольной форме. Этим же приказом утверждается перечень должностных лиц, допускаемых к работе с персональными данными сотрудников. После утверждения документа он хранится в отделе кадров.

Что же должно содержаться в этом документе? Положение о защите персональных данных работников должно содержать следующую информацию:

• Цели обработки данных о работниках;
• Основные понятия (они, как правило, дублируются с понятиями, указанными законом);
• Принципы, на которых строится работа организации с информацией о работниках; режим доступа к персональным данным, перечень лиц, имеющих такой доступ, порядок его получения;
• Какая конкретно информация о сотрудниках считается в компании персональными данными (здесь необходимо учитывать специфику юридического лица, использующего наемных работников), состав сведений, относящихся к персональным данным работников;
• Права и обязанности субъектов персональных данных, работодателя и лиц, которые будут заниматься сбором, хранением и обработкой персональных данных на предприятии;
• Как, где хранятся сведения о сотрудниках;
• Кто из работников имеет доступ к персональным данным;
• Кто отвечает за сохранность этих сведений;
• Как происходит обработка персональных данных;
• Какие условия соблюдает компания, передавая третьим лицам информацию о сотруднике;
• Как поддерживается актуальность сведений и иные разделы и информация.

Структура Положения о защите персональных данных

Положение разрабатывается с учетом норм, изложенных в гл. 14 ТК РФ «Защита персональных данных работника». Оно может состоять из следующих разделов:

1. Общие положения;
2. Понятие и состав персональных данных;
3. Обязанности работодателя;
4. Порядок получения персональных данных работников;
5. Обработка, учет, хранение и передача персональных данных;
6. Доступ к персональным данным;
7. Формирование и ведение личных дел сотрудников;
8. Порядок обеспечения защиты персональных данных;
9. Права и обязанности работника в области защиты его персональных данных.
10. Ответственность работника и работодателя.

Общие положения. В этом разделе указывается цель разработки данного локального нормативного акта, порядок его утверждения и ввода в действие, срок действия, для каких категорий сотрудников он является обязательным для исполнения. Здесь же необходимо дать перечь нормативных актов, на основании которых разработан документ.

Кроме этого, в разделе можно дать перечень используемых терминов и определений, раскрыть их смысловое содержание. В том числе это относится к термину « личное дело работника », при описании которого необходимо привести список тех документов, которые в это дело входят.

Понятие и состав персональных данных . При определении этого понятия необходимо оговорить, что личная информация собирается и обрабатывается работодателем в связи с трудовыми отношениями и необходимостью идентификации личности работника. В этом же разделе нужно привести список тех сведений, которые являются персональными данными, в их число входят не только те данные, которые известны из представленных при поступлении на работу документов, но и, например, такие:

• адрес электронного личного почтового ящика;
• номер дебетовой «зарплатной» пластиковой карты;
• содержание трудового договора и дополнительных соглашений к нему;
• состав сведений о имеющемся в собственности недвижимом имуществе;
• результаты медицинских освидетельствований.

В разделе нужно будет дать перечень тех документов, формируемых в процессе трудовых отношений, которые также могут содержать персональные данные работника и подпадают под это определение. К таким документам, например, можно отнести:

• трудовую книжку;
• трудовой договор;
• приказы по личному составу;
• сертификаты и свидетельства, подтверждающие повышение квалификации, обучение и переобучение;
• копии отчетов по персонифицированному учету, направляемые во внебюджетные фонды и органы статистики.

Обязанности работодателя. В разделе следует оговорить, что в процессе сбора, обработки, учета, хранения и передачи персональной информации о работниках руководитель должен строго соблюдать нормы ТК РФ и законодательства о персональных данных, ограничиваясь исключительно целями содействия работнику при трудоустройстве, в обучении и профессиональном росте.

Порядок получения персональных данных работников должен предусматривать как сбор информации из документальных источников, представленных самим работником так и получение персональных сведений с их письменного согласия . Так, например, только с письменного согласия работника и только в случаях, обусловленных трудовыми отношениями, работодатель может запросить информацию по вопросам семейных, бытовых, личных отношений.

Обратите внимание: Сведения о политических и религиозных убеждениях сотрудника работодатель не имеет права ни запрашивать, ни получать и обрабатывать.

В случаях, когда информацию личного характера можно получить только у третьей стороны, работника необходимо не только оповестить об этом заранее, но и получить у него письменное согласие . При уведомлении работодатель обязан информировать сотрудника, с какой целью собираются сведения, их характере и тех последствиях, которые повлечет отказ сотрудника о предоставлении данных сведений.

Обработка, учет, хранение и передача персональных данных. В данном разделе указываются цели с которыми собираются и обрабатываются личные данные сотрудников. Устанавливается единый режим действий с любой информацией, как на бумажных, так и на электронных носителях. В разделе необходимо оговорить те меры, которые принимает работодатель по ограничению доступа, обеспечению сохранности и целостности вверенных ему персональных данных, в том числе, личных дел и личных карточек работников.

Доступ к персональным данным . В этом разделе необходимо привести перечень должностей, для которых устанавливается неограниченный доступ к персональным данным работников, а также тех должностей, которые имеют ограниченное право доступа. К первым, как правило, относится:

• директор предприятия и руководитель структурного подразделения, в котором трудится работник;
• сотрудник, непосредственный владелец персональных данных;
• руководитель и работник кадровой службы, ответственный за ведение личных дел и личных карточек сотрудников.

В числе лиц, имеющих ограниченный доступ, можно перечислить:

• сотрудников службы кадров и службы по персоналу;
• сотрудников бухгалтерии, которым необходимы личные данные сотрудников для выполнения некоторых функций.

Кроме этого, в разделе можно дать список лиц, которым, при соблюдении требований закона, могут быть переданы личные данные сотрудников. К таковым можно отнести:

• внебюджетные фонды и органы статистики;
• налоговые органы;
• правоохранительные органы;
• органы социального страхования;
• органы воинского учета;
• органы исполнительной власти.

Отдельно следует оговорить основания, процедуру и порядок передачи третьим лицам сведений персонального учета.

Формирование и ведение личных дел . В данном разделе нужно установить порядок формирования личного дела работника и состав документов , которые в него входят Кроме того, необходимо дать ссылку на локальный регламент, устанавливающий порядок ведения и хранения личных дел. Если такого локального акта на предприятии нет, регламентировать порядок ведения и хранения личных дел можно данным разделом Положения о защите персональных данных.

Порядок обеспечения защиты персональных данных . Здесь приводятся меры, предпринимаемые работодателем для обеспечения внутренней и внешней защиты личной информации сотрудников. Разделом устанавливается обязанность всех лиц, имеющих допуск к таким данным, оформить обязательство о их неразглашении .
Права и обязанности работника в области защиты его персональных данных . При написании этой части Положения следует руководствоваться ст. 89 ТК РФ, раскрывающей права работника в рассматриваемой области.

Ответственность работника и работодателя . Разделом необходимо предусмотреть те виды ответственности, которые предусмотрены за нарушение правил учета, ведения и хранения персональных данных работников. В данном случае для нарушителей предусматривается дисциплинарная, административная, гражданско-правовая и уголовная ответственность.

При этом в отношении работника должна быть установлена ответственность за предоставление недостоверных сведений, подложных документов. При установлении ответственности работодателя следует сослаться на положения ст. 90 ТК РФ, ст. 13.14 КоАП РФ и ст. 137 УК РФ.

Приложениями к Положению могут быть формы согласий на обработку персональных данных, письменных обязательств о неразглашении информации и др.

При подготовке проекта информацию берут из закона. Проблема состоит в том, что в ст. 18.1 Закона о персональных данных перечень мер, с помощью которых обеспечивается защита и сохранность, не является исчерпывающим. Учитывая, что технический прогресс не стоит на месте и все больше используются электронные архивы, электронный обмен данными, в законе мы можем не найти формулировок, подходящих к конкретной компании. Тогда придется описывать процессы и технические средства, которые используются, самостоятельно.

Образцы документов, в частности положение о персональных данных работников, можно скачать

Ответственность за отсутствие локального акта о защите персональных данных

Правонарушение в сфере защиты персональных данных является серьезным с точки зрения законодателя. В ст. 90 ТК РФ указаны виды ответственности – виновные привлекаются к дисциплинарной , материальной, гражданско-правовой, административной и уголовной ответственности.

Судебной практики о наказании виновных должностных лиц организаций достаточно много. Широко применяется ст. 13.11. КоАП РФ, напрямую касающаяся нарушения порядка работы с персональными данными. Штрафы на текущий момент такие: для юридического лица от пяти до десяти тысяч рублей.

Вот уже с 1 июля ситуация изменяется и работодатель может быть подвергнут штрафу за эти виды правонарушений в размере аж до 75 тысяч рублей. Расширится и перечень оснований для привлечения к ответственности. Об этом смотрите Федеральный закон от 07.02.2017 № 13-ФЗ.

Таким образом, в свете изменения ситуации с ответственностью, следует серьезно проработать вопросы сбора, использования, передачи и защиты персональных данных работников. Даже если у работодателя имеется локальный нормативный акт , касающийся информации о сотрудниках, стоит внимательно просмотреть его на предмет актуальности, юридической силы, полезности для работодателя.

Скачать в.doc

УТВЕРЖДАЮ

Генеральный директор
ОАО «__________»

___________/___________/

« __ »____________201___г.

Положение о защите персональных данных работников

1. Общие положения
Настоящее положение о защите персональных данных устанавливает порядок приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным сотрудников ОАО «_________».
Под сотрудниками подразумеваются лица, имеющие трудовые отношения с ОАО «______________».

1.1. Цель
Настоящее положение о защите персональных данных является развитием комплекса мер, направленных на обеспечение защиты персональных данных, хранящихся у работодателя, посредством планомерных действий по совершенствованию организации труда.

2. Понятие и состав персональных данных
Под персональными данными сотрудников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника, а также сведения о фактах, событиях и обстоятельствах жизни сотрудника, позволяющие идентифицировать его личность. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
К персональным данным относятся:
- все биографические сведения сотрудника;
- образование;
- специальность;
- занимаемая должность;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- состав семьи;
- место работы или учебы членов семьи и родственников;
- характер взаимоотношений в семье;
- размер заработной платы;
- содержание трудового договора;
- состав декларируемых сведений о наличии материальных ценностей;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела, личные карточки (форма Т2) и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке
сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики;
- анкета;
- копии документов об образовании;
- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии;
- и т.п.
Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.
Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом. Собственником информационных ресурсов (персональных данных) - является субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения этими ресурсами. Это любой гражданин, к личности которого относятся соответствующие персональные данные, и который вступил (стал сотрудником) или изъявил желание вступить в трудовые отношения с работодателем. Субъект персональных данных самостоятельно решает вопрос передачи работодателю своих персональных данных.
Держателем персональных данных является работодатель, которому сотрудник добровольно передает во владение свои персональные данные. Работодатель выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
Права и обязанности работодателя в трудовых отношениях осуществляются физическим лицом, уполномоченным работодателем. Указанные права и обязанности он может делегировать нижестоящим руководителям - своим заместителям, руководителям структурных подразделений, работа которых требует знания персональных данных работников или связана с обработкой этих данных.
Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику или держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.

3. Принципы обработки персональных данных
Обработка персональных данных включает в себя их получение, хранение, комбинирование, передачу, а также актуализацию, блокирование, защиту, уничтожение.
Получение, хранение, комбинирование, передача или любое другое использование персональных данных сотрудника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Все персональные данные сотрудника получаются у него самого. Если персональные данные сотрудника возможно получить только у третьей стороны, то сотрудник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Работодатель должен сообщить сотруднику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать письменное согласие на их получение.
Не допускается получение и обработка персональных данных сотрудника о его политических, религиозных и иных убеждениях и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности. Пакет анкетно - биографических и характеризующих материалов (далее «Личное дело») сотрудника формируется в «Личное дело» после издания приказа о его приеме на работу. «Личное дело» обязательно содержит личную карточку формы Т2, а также может содержать документы, содержащие персональные данные сотрудника, в порядке, отражающем процесс приема на работу: заявление сотрудника о приеме на работу; анкета; характеристика-рекомендация; результат медицинского обследования на предмет годности к осуществлению трудовых обязанностей; копия приказа о приеме на работу; расписка сотрудника об ознакомлении с документами организации, устанавливающими порядок обработки персональных данных работников, а также об его правах и обязанностях в этой области; расписка сотрудника об ознакомлении его с локальными нормативными актами организации, правилами внутреннего трудового распорядка и т.д.
Все документы хранятся в файлах, файлы содержатся в папках в алфавитном порядке фамилий сотрудников. Анкета является документом «Личного дела», представляющим собой перечень вопросов о биографических данных сотрудника, его образовании, выполняемой работе с начала трудовой деятельности, семейном положении, месте прописки или проживания и т.п. Анкета заполняется сотрудником самостоятельно при оформлении приема на работу.
При заполнении анкеты сотрудник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержатся в его личных документах. В графе "Ближайшие родственники" перечисляются все члены семьи сотрудника с указанием степени родства (отец, мать, муж, жена, сын, дочь, родные брат и сестра); далее перечисляются близкие родственники, проживающие совместно с сотрудником. Указываются фамилия, имя, отчество и дата рождения каждого члена семьи.
При заполнении анкеты и личной карточки Т2 используются следующие документы:
. паспорт;
. трудовая книжка;
. военный билет;
. документы об образовании.
«Личное дело» пополняется на протяжении всей трудовой деятельности сотрудника в данной организации. Изменения, вносимые в карточку Т2, должны быть подтверждены соответствующими документами (например, копия свидетельства о браке).
Сотрудник отдела кадров, ответственный за документационное обеспечение кадровой деятельности, принимает от принимаемого на работу сотрудника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявленными документами. При обработке персональных данных сотрудников работодатель в лице Генерального директора вправе определять способы обработки, документирования, хранения и защиты персональных данных сотрудников ОАО «____________» на базе современных информационных технологий.
Сотрудник обязан:
- передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен ТК РФ;
- своевременно сообщать работодателю об изменении своих персональных данных.
Сотрудник имеет право на:
- полную информацию о своих персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника. Доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по своему выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.

и т. д...

Закажите составление документа по индивидуальному заказу.

Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами - физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите. Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников.

Персональные данные - это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними и до увольнения.

Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке.

С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.

Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.

Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными.

Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.

Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.

Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных .

Внимание! Законодательство устанавливает, что в состав Положения должно входить . Его необходимо запрашивать у работающего на предприятии человека каждый раз, когда происходит разглашение сведений третьим лицам, например, при составлении доверенности, справок и т. д.

При этом данное согласие сотрудник может отозвать в любой момент, подав на имя своего работодателя соответствующие заявление.

Какие данные сотрудников являются персональными

Нормы законодательства определяют, что включается в состав личных данных человека. Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.

Сюда включаются:

• Полные личные данные работника (Ф.И.О.).
• Сведения о месте и дате появления его на свет.
• Адрес фактический и по регистрации.
• Социальное, семейное, имущественное положение.
• Имеющиеся у работника образование, профессия.
• Сведения о получаемых сотрудником доходах и т. д.

Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.

Персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:

• паспортные данные;
• семейное положение;
• сведения об образовании;
• номер страхового свидетельства обязательного пенсионного страхования;
• сведения о трудовой деятельности и др.

Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку №Т_2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

Понятие персональных данных содержит Перечень сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г.№188 «Об утверждении сведений конфиденциального характера»). Это сведения о фактах, событиях и обстоятельствах частной жизни человека. Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника.

Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника. При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.

Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.

Главная цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.

Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно только в двух случаях:

• это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
• это предусмотрено в федеральном законе (например, ст. 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур).

Обратите внимание: не допускается передача личных сведений о работнике с коммерческой целью (ст. 88 ТК РФ).

Какие сведения указывают в Положении о защите персональных данных

Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных. Это внутренний (локальный) документ фирмы, его разрабатывает кадровая служба.

Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника Трудовой кодекс РФ.

В Положении должны быть указаны:

• цель и задачи фирмы в области защиты персональных данных;
• понятие и состав персональных данных;
• в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
• как происходит сбор персональных данных;
• как они обрабатываются и используются;
• кто (по должностям) в пределах фирмы имеет к ним доступ;
• как персональные данные защищаются от несанкционированного доступа;
• права работника в целях обеспечения защиты своих персональных данных;
• ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Кто утверждает Положение о защите персональных данных

Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя.

Вот примерный образец приказа:

ПРИКАЗ

об утверждении Положения о защите

персональных данных работников

г. Москва

ПРИКАЗЫВАЮ:

1. Утвердить Положение о защите персональных данных работников Закрытого акционерного общества «Прогресс» и ввести его в действие со 2 августа 2006 года.

2. Контроль за исполнением настоящего приказа оставляю за собой.

Кустов /Кустов В.Н./

Согласовано:

Начальник отдела кадров Воеводина /Воеводина Г.И./

Юрисконсульт Николаев /Николаев С.П./

Положение о защите персональных данных работников может выглядеть так:

ЗАКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «ПРОГРЕСС»

УТВЕРЖДЕНО

приказ генерального директора

ЗАО «Прогресс»

от « 13 » апреля 20 07 г. № 43

ПОЛОЖЕНИЕ

о защите персональных данных работников

г. Москва

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение разработано в целях защиты персональных данных работников Закрытого акционерного общества «Прогресс» (далее – Общество).

1.2. Настоящее Положение разработано в соответствии с требованиями Трудового кодекса РФ, Федерального закона от 27 июля 2006 г.№152BФЗ «О персональных данных» и определяет систему обработки и защиты персональных данных работника, полученных в процессе хозяйственной деятельности и необходимых в связи с трудовыми отношениями.

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

2. ПЕРЕЧЕНЬ ДОКУМЕНТОВ И СВЕДЕНИЙ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКА

2.1. В соответствии с Трудовым кодексом РФ лицо, поступающее на работу в Общество, предъявляет работодателю следующие документы, содержащие его персональные данные:

– паспорт или другой документ, удостоверяющий личность, который содержит сведения о его паспортных данных, месте регистрации (месте жительства), семейном положении;

– трудовую книжку, которая содержит сведения о трудовой деятельности работника;

– страховое свидетельство государственного пенсионного страхования, которое содержит сведения о номере и серии страхового свидетельства;

– свидетельство о постановке на учет в налоговом органе, которое содержит сведения об идентификационном номере налогоплательщика;

– документ об образовании, квалификации или наличии специальных знаний, содержащий сведения об образовании, профессии;

– документы воинского учета, которые содержат сведения о воинском учете военнообязанных и лиц, подлежащих призыву на военную службу.

2.2. В перечень документов и сведений, содержащих персональные данные, включаются:

– трудовой договор;

– сведения о состоянии здоровья;

– сведения о заработной плате.

3. ОБЩИЕ ТРЕБОВАНИЯ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И ГАРАНТИИ ИХ ЗАЩИТЫ

3.1. Обработка персональных данных работника осуществляется исключительно в целях обеспечения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучения и продвижения по службе, обеспечения личной безопасности работника, сохранности имущества, контроля количества и качества выполняемой работы.

3.2. Все персональные данные работника передаются им лично. Если персональные данные работника возможно получить только у третьей стороны, то работодатель обязан уведомить об этом работника заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

3.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и других убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.4. Работодатель не имеет права получать и обрабатывать данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

3.5. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.6. Защита от неправомерного использования персональных данных работника обеспечивается работодателем за счет собственных средств в порядке, установленном федеральным законом.

3.7. Работник должен быть ознакомлен с настоящим Положением под роспись.

4. ПОРЯДОК ХРАНЕНИЯ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

4.1. Персональные данные работника хранятся после автоматизированной обработки на электронном носителе и в бумажном варианте в личном деле сотрудника.

4.2. Персональные данные в бумажном варианте хранятся в сейфе. Ключ от сейфа хранится у генерального директора.

4.3. Персональные данные на электронных носителях хранятся в программе «1С:Зарплата и кадры». Доступ к программе имеют генеральный директор и начальник отдела персонала. Вход в программу осуществляется только при введении личного пароля пользователя.

4.4. Допуск к персональным данным работника разрешен только тем должностным лицам, которым персональные данные необходимы в хозяйственной деятельности согласно Списка специально уполномоченных лиц (приложение 1).

4.5. От работников, ответственных за хранение персональных данных, а также работников, владеющих персональными данными в силу своих должностных обязанностей, берутся обязательства о неразглашении конфиденциальной информации о персональных данных работников.

4.6. Внешний доступ к персональным данным работников имеют контрольно-ревизионные органы при наличии документов, на основании которых они проводят проверку. Дистанционно персональные данные работников могут быть представлены контрольно-надзорным органам только по письменному запросу. Страховые фонды, негосударственные пенсионные фонды, другие организации, а также родственники и члены семьи работника не имеют доступа к персональным данным работника, за исключением наличия письменного согласия самого работника.

4.7. Автоматизированная обработка и хранение персональных данных работников допускаются только после выполнения всех основных мероприятий по защите информации.

4.8. Помещения, в которых хранятся персональные данные работников, должны быть оборудованы надежными замками и системой сигнализации.

5. ПРАВИЛА ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

5.1. При передаче персональных данных работника ответственный за хранение персональных данных должен соблюдать следующие требования:

– не сообщать персональные данные работника без его письменного согласия, кроме случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

– предупреждать лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

– не сообщать персональные данные работника в коммерческих целях;

– не запрашивать информацию о состоянии здоровья работника, кроме тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

5.2. Работодатель вправе осуществлять передачу персональных данных работника в пределах одной организации в соответствии с данным Положением, с которым работник ознакомлен под расписку.

5.3. Работодатель вправе передавать персональные данные работника представителю работника в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанным представителем его функций.

6. ПРАВА РАБОТНИКА В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ХРАНЯЩИХСЯ У РАБОТОДАТЕЛЯ

Работник имеет право:

– на полную информацию о своих персональных данных и обработке этих данных;

– на свободный бесплатный доступ к этим данным, включая право на получение копий любой записи, содержащей персональные данные работника;

– на требование об исключении или исправлении неверных или неполных персональных данных, обработанных с нарушением Трудового кодекса РФ и настоящего Положения;

– на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, о всех произведенных в них исключениях, исправлениях или дополнениях;

– на определение своих представителей для защиты своих персональных данных;

– на обжалование в суд неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника.

7. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. За нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, виновные лица несут ответственность в соответствии с федеральными законами:

– дисциплинарную;

– административную;

– гражданско-правовую;

– уголовную.

7.2. Работник, представивший работодателю подложные документы или заведомо ложные сведения о себе, несет дисциплинарную ответственность вплоть до увольнения.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. Настоящее Положение вступает в силу с момента его утверждения генеральным директором и вводится в действие его приказом.

8.2. Положение обязательно для всех работников Общества.

Согласовано:

Главный бухгалтер Воронова /Воронова Е.Л./

Начальник отдела кадров Воеводина /Воеводина Г.И./

Юрисконсульт Николаев /Николаев С.П./

Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к Положению.

В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике.

Помимо кадровиков доступ к этим сведениям могут получить руководители структурных подразделений (например, главный бухгалтер, начальники отделов). Однако они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев).

Оформляют приложение так:

Приложение 1

к Положению о защите персональных данных

г. Москва

СПИСОК

специально уполномоченных лиц

в получении персональных данных работников

Генеральный директор ЗАО «Прогресс» Кустов /Кустов В.Н./

Правила ознакомления сотрудников с Положением о персональных данных

Работодатель обязан ознакомить работника с Положением о защите персональных данных, а работник – расписаться в этом.

Факт ознакомления обычно оформляют распиской, которая остается у работодателя. Вот ее образец:

РАСПИСКА

Я, Соколов Алексей Петрович, ознакомлен с Положением о персональных данных работника, права и обязанности в области защиты персональных данных мне разъяснены.

Положение о защите персональных данных работников — это базовый документ организации, который составляет правовую основу всей работы с данными такого рода. О содержании данного положения и работе с ним и расскажет предлагаемая нами статья.

Положение об обработке личных данных — требования законодательства

Часть 1 статьи 18.1 закона «О персональных…» от 27.07.2006 № 152-ФЗ указывает, что организации или иные субъекты (ИП, органы государственной или муниципальной власти), ведущие работу с личными данными граждан, обязаны принимать необходимые и достаточные меры, чтобы обеспечить выполнение требований как самого ФЗ № 152, так и принятых для его исполнения подзаконных актов. При этом перечень необходимых для выполнения подобных обязанностей мер организация вправе выбирать самостоятельно.

Та же часть 1 статьи 18.1 ФЗ № 152 содержит в себе приблизительный (но не исчерпывающий) перечень мероприятий, которые организация может использовать в ходе работы с личными данными. Пункт 2 части 1 статьи 18.1 ФЗ № 152 указывает, что одной из возможных мер является издание внутренних документов, которые будут определять политику организации в области работы с личными данными, а также иных нормативных актов, определяющих конкретный порядок работы сотрудников организации с таким сведениями.

Следует отметить, что политика организации — это преимущественно декларативный документ, который обозначает лишь общие черты мероприятий, которые будут приняты организацией для выполнения норм законодательства. Правовой основой для обработки личных данных в организации является положение о персональных данных работников.

Анализ статьи 18.1 ФЗ № 152 показывает, что принятие такого положения не является обязательным требованием. В то же время при проведении проверки соблюдения мер безопасности при работе с личными данными организация, согласно части 4 статьи 18.1 ФЗ № 152, должна предъявить такой документ проверяющим либо иным образом подтвердить факт соблюдения норм ФЗ № 152. Таким образом, наличие такого положения можно расценивать как бесспорное доказательство соблюдения требований, предъявляемых к работе с личными данными, поэтому организации все же желательно его разработать. При этом во исполнение требований части 2 статьи 18.1 ФЗ № 152 данное положение должно быть доступно для всеобщего ознакомления либо размещено на сайте организации.

Не знаете свои права?

Содержание положения, образец 2017 года

Перечень вопросов, которые должны быть урегулированы в положении, содержится в статье 18.1 ФЗ № 152. Как правило, они включаются в следующем порядке:

1. Общие положения. Здесь указываются:
   • цели и задачи действия положения;
   • ссылки на иные нормативные акты организации (приказы, инструкции, регламенты);
   • ситуации, когда данное положение подлежит применению;
   • ответственные за выполнение лица;
   • определения используемых в документе терминов и т. д.
2. Перечень и порядок применения технических, юридических и иных мер, направленных на защиту личных данных. В данном разделе отражаются:
   • вопросы допуска к носителям персональных данных,
   • порядок работы с ними,
   • требования к компьютерной технике, при помощи которой ведется работа с информацией, и т. д.
3. Порядок информирования (инструктажа) сотрудников организации, которые будут допущены к работе с личными данными.
4. Периодичность и перечень мероприятий, проводимых в рамках внутреннего или внешнего контроля за соблюдением положения.
5. Рамки ответственности сотрудников за нарушение требований положения.
6. Оценка возможного вреда и перечень мероприятий, которые могут минимизировать его или вовсе исключить вероятность его причинения.

При разработке положения организации следует учитывать также нормы:

• положения, введенного в действие постановлением Правительства РФ «Об утверждении…» от 15.09.2008 № 687 (если в организации данные обрабатываются вручную с использованием бумажных или электронных носителей информации);
• требований к работе со средствами автоматизации, установленными постановлением Правительства РФ «Об утверждении…» от 01.11.2012 № 1119 (при использовании компьютерной техники, передаче данных через интернет).

С образцом положения о защите персональных данных 2017 года вы можете ознакомиться на нашем сайте.

Особенности работы с положением

При непосредственной работе с положением о защите персональных данных работников следует помнить, что перечень ответственных за такую работу лиц (либо имеющих допуск к данным) утверждается отдельным приказом. Кроме того, если в организации используются унифицированные бумажные формы учета (книги, реестры, картотеки и т. д.), для их использования, согласно пункту 7 положения № 687, дополнительно требуется издание соответствующих инструкций по работе с ними. При этом стоит помнить, что в организации помимо обработки данных сотрудников часто требуется сбор и хранение данных клиентов и других граждан, поэтому действие положения может быть распространено и на работу с их личными данными.

Подводя итог, отметим, что разработка положения — это своеобразная страховка при проведении проверок организации со стороны Роскомнадзора и других контролирующих органов. Кроме того, положение позволяет упорядочить деятельность сотрудников при работе с личными сведениями, что повысит и степень защиты, и оперативность, и точность обработки.

---