Образец локальные акты по вопросам обработки персональных данных

Что относится к персональным данным работника? Порядок защиты и хранения информации в организации

Кадровый документооборот любой организации включает в себя хранение персональных данных наемных работников. Чтобы этот процесс соответствовал всем нормам Трудового законодательства РФ, необходимо знать следующее.

Для решения вашей проблемы ПРЯМО СЕЙЧАС получите бесплатную ЮРИДИЧЕСКУЮ консультацию:

+7 (499) 938-51-93 Москва
+7 (812) 467-38-65 Санкт-Петербург

Показать содержание

Понятие: что относится к личной информации сотрудника?

Исходя из п. 1 ст. 3 Закона № 152-ФЗ от 27 июля 2006 г., это любая прямая или косвенная информация о конкретном сотруднике, которая необходима администрации для осуществления трудовых отношений. К ней относится информация:

• об образовании;
• о специальности;
• о квалификации;
• о состоянии здоровья;
• о наличии детей;
• о доходах (в частности, для госслужащих).

Работодатель не имеет право требовать у потенциального сотрудника информацию о его вероисповедании, национальности и семейном положении. Также как и сотрудник имеет право ее не предоставлять.

По «Положению о персональных данных работника» каждый работодатель обязан регламентировать операции с персональными данными сотрудников, учитывая нормы, предписанные в статье 87 ТК РФ, а также п. 2 ст. 18.1 № 152-ФЗ.

Статья 87 ТК РФ. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

Работодатель запрашивает информацию, чтобы осуществить следующие функции:

• выявление соответствия занимаемой должности;
• возможность предоставления различных компенсаций и льгот;
• оформление налогового вычета;
• заполнение личной карточки работника по унифицированной форме Т-2.

Вся информация должна быть предоставлена исключительно первым лицом, то есть самим наемным работником.

Кто разрабатывает документ?

Положение о персональных данных госслужащего РФ и ведении его дела утверждено Указом Президента РФ от 30.05.2005 № 609. Поэтому для государственных учреждений положения разрабатываются, исходя из нормативных правовых актов.

В частной фирме положение разрабатывается работодателем при участии любого представительного органа работников. Чаще всего эта роль закреплена за Профсоюзом. В этом случае оно утверждается с учетом его мнения (ст. 372 ТК РФ) следующим образом:

1. На рассмотрение дается 5 рабочих дней. После чего, если решение Профсоюза содержит отказ на утверждение или там представлены доработки и предложения, работодатель обязан в течение 3 рабочих дней добиться взаимного согласия на подписание Положения.
2. Если обоюдного решения достичь не удается, составляется Протокол разногласий и работодатель самостоятельно принимает решение об утверждении Положения, которое может быть обжаловано членами профсоюзной организации при обращении в суд или в государственную инспекцию труда.

Если Профсоюза нет, а есть иной представительный орган работников, то Положение должно согласовываться с ним.

Работодатель, у которого нет представительного органа, самостоятельно принимает решение о подписании Положения. В данном случае оно не должно противоречить установленному локальному нормативному акту фирмы и по возможности предварительно обговорено с юристом, начальником отдела кадров и главным бухгалтером.

Положение о защите персональных данных чаще всего включает 6 разделов, посвященных различным этапам обработки личной информации:

• общие положения;
• получение и систематизация личных данных;
• обработка и хранение этой информации;
• ее использование;
• осуществление передачи и распространения личных данных;
• гарантия конфиденциальности со стороны ответственных сотрудников.

Предложенную структуру можно менять, если есть такая необходимость: добавлять новые разделы и приложения, корректировать. Работодатель вправе самостоятельно определить структуру.

Политика и порядок обработки и хранения информации в организации

Работодатель обязан гарантировать соблюдение прав и свободы сотрудника, который предоставляет ему личную информацию. Даже в пределах одной организации личные данные можно передавать только в пределах локального акта организации (Положения), с которым должен быть ознакомлен весь персонал под подпись (п. 8 ст. 86 ТК РФ).

Персональные данные на сотрудника хранятся в бухгалтерии и кадровой службе, вместе с ведомостью по его заработной плате, личными карточками, делами и другими документами — как в электронном, так и в бумажном виде.

В случае утраты или неправомерного использования личной информации работодатель обязан за свой счет обеспечить ее защиту.

Порядок обработки и хранения информации должен быть определен локальным нормативным актом и в нем же прописан (в Положении).

Обязательства о защите и неразглашении

Положение включает в себя обязательство о неразглашении персональных данных и подписывается сотрудниками, которые по своему служебному положению имеют доступ к личной информации. Ответственность за разглашение устанавливается этим же внутренним документом.

Число ответственных сотрудников может варьироваться. Это могут быть: генеральный директор, сотрудники отдела кадров, бухгалтерии и так далее (зависит от специфики организации).

Нарушение правил обращения предусмотрено в ст. 24 ФЗ № 152 и влечет за собой увольнение или штраф в размере:

• 1000-3000 р. для граждан;
• 5000-10 000 р. для должностных лиц;
• 30 000-50 000 р. для предприятий.

Как утверждается?

Каждая фирма несет статус оператора персональных данных и именно она обязана утвердить локальный правовой акт, которым в современной профессиональной практике чаще всего является Положение о персональных данных работников.

Для того чтобы его утвердить, работодателем (генеральным директором) составляется приказ. Он должен включать в себя вводную (1), основную (2) и заключительную (3) части:

1. Наименование организации-работодателя; название, номер, дата приказа; город; основания вынесения приказа на рассмотрение.
2. Факт утверждения положения по личным данным работников; дату введения положения в действие; должностные лица, ответственные за работу с личной информацией, а также степень полноты этого допуска.
3. Ответственный за выполнение приказа и его обязательство довести до сотрудников пункты Положения о персональных данных и взять их согласие на обработку информации в письменной форме; подпись руководителя или ответственного; дата ознакомления и подпись должностного лица, ответственного за выполнение распоряжения.

После утверждения оно сразу вступает в силу, затем должно быть доведено до всех работников под подпись. Действующими сотрудниками в реестре (журнале) ставится подпись об ознакомлении.

Если распоряжение касается большого числа сотрудников (одного или нескольких структурных подразделений), то составляется Лист ознакомления. Он служит документом-приложением к приказу.

Лист также необходим для того, чтобы в случае спорных ситуаций между руководством и подчиненными послужить своеобразным доказательством для решения вопросов в суде или с привлечением трудовой инспекции. За отказ в подписи руководитель имеет право привлечь работников к дисциплинарному взысканию вплоть до увольнения.

Когда нужно уведомлять Роскомнадзор о предстоящей обработке?

Операторы (ответственные) перед обработкой персональных данных обязаны проинформировать Роскомнадзор о предстоящей процедуре. Однако здесь есть ряд исключений, предусмотренных в ст. 1, 2, 22 Закона от 27 июля 2006 г. № 152-ФЗ.

Например, если обработка данных в организации ведется в соответствии с трудовым правом, то есть по заключению гражданско-правового договора с сотрудником и при этом соблюдается защита персональных данных, они не распространяются без согласия субъекта, а также используются исключительно в профессиональных целях, то уведомлять Роскомнадзор в данном случае нет необходимости.

Ответственность за отсутствие документа

Отсутствие данного Положения нарушает Трудовой Кодекс РФ, поэтому по решению государственной инспекции труда должностное лицо (генеральный директор или его ИО) может понести штраф от 1000 до 5000 р., а за повторное нарушение — от 10 000 до 20 000 р. и дисквалификацию от 1 до 3 лет с правом занимаемой должности и осуществления профессиональной деятельности (ст. 5.27 КоАП РФ).

Чтобы не допустить возможности разглашения личной информации своих работников каждая фирма должна обеспечить их защиту в полной мере. Чаще всего для этого используется локальный акт в виде Положения о защите персональных данных. Данное Положение имеет общепринятую структуру, но не ограничивается ею, поэтому руководитель организации вправе определить, сколько подразделов оно будет включать.

Факт ознакомления сотрудников с Положением фиксируется или в трудовом договоре или на отдельном документе-приложении — Листе ознакомления.

, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Для решения вашей проблемы ПРЯМО СЕЙЧАС получите бесплатную ЮРИДИЧЕСКУЮ консультацию:

+7 (499) 938-51-93 Москва
+7 (812) 467-38-65 Санкт-Петербург

Положение о защите персональных данных работников: как правильно составить, как утвердить, скачать образец

Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами — физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите. Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников.

Для чего необходимо положение о защите персональных данных

Персональные данные — это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними трудового договора и до увольнения.

Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке.

С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.

Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.

Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными.

Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.

Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.

Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных опросных листов.

Внимание! Законодательство устанавливает, что в состав Положения должно входить согласие на обработку личных данных работника. Его необходимо запрашивать у работающего на предприятии человека каждый раз, когда происходит разглашение сведений третьим лицам, например, при составлении доверенности, справок и т. д.

При этом данное согласие сотрудник может отозвать в любой момент, подав на имя своего работодателя соответствующие заявление.

Какие данные сотрудников являются персональными

Нормы законодательства определяют, что включается в состав личных данных человека. Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.

Сюда включаются:

• Полные личные данные работника (Ф.И.О.).
• Сведения о месте и дате появления его на свет.
• Адрес фактический и по регистрации.
• Социальное, семейное, имущественное положение.
• Имеющиеся у работника образование, профессия.
• Сведения о получаемых сотрудником доходах и т. д.

Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.

Список информации, которая может быть отнесена к ПД сотрудника не является закрытым, поэтому каждый субъект, ведущий бизнес, имеет право расширять его, при этом данные категории должны быть обязательно зафиксированы в Положении предприятия.

Внимание! Существует информация о работнике, которая никогда не должна запрашиваться администрацией компании, так как она является сугубо личной. Сюда относится, к примеру, вероисповедание, национальность. Если кто-то попытается узнать подобную информацию, это будет расценивать как попытка вторжения в личную жизнь работника.

Закон не определяет, какие именно сведения и разделы должны быть внесены в документ. Также нигде не оговариваются критерии, по которым необходимо производить оформление. Поэтому, в процессе подготовки этого документа на предприятии нужно учитывать требования ФЗ о персональных данных, а также общие принципы оформления внутренних нормативных актов.

Общие положения

Этот раздел должен содержать цели составления документа, иметь ссылки на законы и другие нормативные акты по работе с персональными данными. Еще здесь нужно описать процесс введения положения в действие, и как именно будут в него вноситься изменения.

Перечень персональных данных сотрудников

Это один из самых важных разделов в положении, поскольку именно он будет определять, какие именно сведения подпадают под понятие персональных.

Составлять этот раздел лучше всего только после того, как от работников получены все необходимые документы и проведен их анализ на предмет содержащихся в них сведений.

Здесь же можно описать внутренние документы, в которых могут содержаться личные данные, и какие также должны подлежать защите.

Операции с персональными данными

В этом разделе нужно описать какие подразделения, либо конкретные лица, получают право на работу с персональными данными. Также здесь нужно конкретно указать носители, на которых могут храниться данные (например, в виде распечаток на бумаге, в электронном виде в базе данных и т.д.)

Доступ к персональным данным

В разделе нужно описать каким образом персональные данные, имеющиеся в компании, могут быть использованы другими работниками, не имеющими на это полномочий. Также в этом разделе необходимо обговорить порядок предоставления имеющихся сведений в другие организации, госорганы, прочим лицам.

Обязанности работников с доступом к персональным данным

В этом разделе нужно описать какие именно действия обязаны выполнять работники, допущенные к личным данным сотрудников компании.

Права работников в отношении операций с персональными данными

Здесь описываются права работников, которые передали компании свои персональные сведения, и тех, кто обладает доступом к таким сведениям в процессе выполнения обязанностей.

Защита персональных данных

В разделе описывается, в каком именно месте и каким образом в компании хранятся полученные персональные данные.

Необходимо подробно указать при помощи каких мер производится защита данных на бумаге (например, архивные шкафы, запирающиеся на ключ, замок с кодовым доступом на двери помещения архива и т. д.).

Также нужно описать, где хранятся и как защищаются данные, имеющиеся в электронном виде.

Порядок утверждения положения о персональных данных сотрудников

Порядок разработки и принятия у данного положения точно такой же, как и у любого другого внутреннего акта предприятия.

Если в компании сформирован профсоюз, то принятие положения должно производиться только после его согласования с данным органом.

Проект документа нужно передать в профсоюз, у которого есть пять дней на его рассмотрение. По истечении этого срока орган должен в письменном виде представить свое мнение о нем.

Мнение органа может выражать несогласие с представленным документом. В этой ситуации вместе с выражением мнения предоставляются предложения по изменению положения. Администрация должна либо принять предлагаемые изменения, либо в срок трех дней провести с органом дополнительные обсуждения.

Если даже после этого согласие достигнуто не было, то обе стороны составляют и подписывают протокол разногласий. После этого шага администрация имеет право принять документ в том виде, как он предлагается. Но надо помнить, что профсоюз при возникновении спорной ситуации может обжаловать принятие положения в суде либо через трудинспекцию.

Если профсоюзный орган в организации не сформирован, но есть другой, представляющий интересы рабочих, то проводить согласование положения нужно с ним.

Если профсоюза нет вообще, то администрация вводит Положение о персональных данных в действие самостоятельно, принимая необходимый приказ. В этом распоряжении нужно проставить дату, с которой нормативный акт начинает действовать, определить ответственных лиц за соблюдение его, отменить предыдущий нормативный акт (если новое положение принимается взамен старого).

бухпроффи

Важно! Если в приказе не указана дата начала действия, то положение приобретает силу с даты подписания распоряжения.

Ответственность за разглашение персональных данных

C 1 июля 2017 года начали действовать поправки к законам и КОАП, которые касаются работы с личными данными. Среди них было существенное увеличение штрафов за нарушения в сфере обработки и хранения сведений о людях.

Закон о персональных данных с 1 июля 2017 года предусматривает следующие штрафы:

• Так, если производится сбор персональных данных в не предусмотренных законом случаях, либо выполняется обработка несовместимая с целями, указанными в законе, это наказывается предупреждением либо штрафом для простых граждан в сумме 1-3 тыс. р., для должностных лиц — 5-10 тыс. р., для предприятий — 30-50 тыс. р.
• Если у субъекта, получившего персональные данные, нет согласие на обработку персональных данных от их владельца, хотя оно обязательно должно быть получено, влечет наложение штрафа на граждан в сумме 3-5 тыс. р, на должностных лиц — 10-20 тыс. р., на организации — 15-75 тыс. р.
• Также поправками была введена ответственность за то, что оператор не опубликовал в открытом доступе документ, описывающий его политику по получению, обработке и хранению личных данных. Это действие влечет за собой штраф на граждан от 700 до 5 тыс. р., на должностных лиц — 3-6 тыс. р., на предпринимателя — 5-10 тыс. р., на организацию — 15-30 тыс. р.
• Если оператор данных не предоставляет владельцу сведения о том, каким образом производится обработка его данных, влечет наложение на граждан предупреждения либо штрафа в сумме 1-2 тыс. р., на должностных лиц — 4-6 тыс. р., на предпринимателей — 10-15 тыс. р, на компании — 25-40 тыс. р.

Основные локальные акты по защите персональных данных. положение о защите персональных данных работн

Этот документ, устанавливает правила и регламентирует порядок организации обращения (обработки) с персональными данными сотрудников. Положение относится к организационно-распорядительной документации и представляет собой один из издаваемых организацией локальных актов.

Общий порядок разработки положения о персональных данных работников, в основном, схож с разработкой любого другого.

Разработка документа производится в соответствии с решением руководителя кадровой службы во взаимодействии со службой (иным подразделением) обработки информации и включает подготовку предварительного варианта текста, его уточнение, согласование, оформление и представление на утверждение.

Окончательно оформленный документ утверждается соответствующим приказом, издаваемым руководителем организации.

документа обычно разрабатывается на основе типовых (примерных) положений о персональных данных, а также документов, регулирующих деятельность организации в области управления кадровыми и информационными ресурсами.

Рекомендуемая структура положения:1. Общая информация.2. Состав персональных данных сотрудников.3. Организация обработки персональных данных.

4. Ответственность за нарушение требований к обработке персональных данных.

К положению в качестве приложений обычно разрабатываются и прикладываются формы заявлений о согласии работника на обработку, получение и передачу его персональных данных третьими лицами.

Приказ о назначении ответственного за обработку персональных данных

Создание приказа о назначении ответственного лица за обработку персональных данных происходит для регуляции работы кадровиков и руководящего состава предприятия с персональными сведениями о сотрудниках.

Обязателен ли документ, его значение

Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.

Что относится к персональным данным

Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.

Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.

Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.

На кого чаще всего возлагается ответственность за обработку персональных данных

Наиболее часто ответственность за решение этого вопроса возлагается на работника отдела кадров (специалиста или руководителя), юриста и, реже, секретаря организации, — в зависимости от того, в чьем ведении находятся личные дела сотрудников с их личными документами, копиями документов и другими характеризующими их бумагами.

В каком виде написать приказ

Приказ о назначении ответственного за обработку персональных данных лица можно писать в свободном виде, поскольку на сегодня унифицированная его форма не предусмотрена.

Правда, эта норма не касается государственных учреждений, где обычно применяются стандартные формуляры, а также тех предприятий, руководство которых разработало и утвердило собственный единый шаблон для распорядительных актов.

Информация о формате приказов обязательно должна быть указана в учетной политике компании.

Каким сделать оформление

Оформление приказа также полностью отдается на откуп его составителей. Документ допускается писать вручную, но все же предпочтительнее печатать на компьютере, используя для распечатки бланк с фирменными реквизитами и логотипом или же обычный лист бумаги.

Чьи подписи должны стоять под приказом

Приказы всегда пишутся от имени главного лица компании – директора, а, значит, первая подпись в документе должна быть его. В отсутствие руководителя на рабочем месте расписаться в распоряжении может сотрудник, временно исполняющий его обязанности.

Также в распорядительном акте должны быть автографы работников предприятия, в отношении которых он выпущен и те, на кого возложен контроль за его исполнением.

Как проводить учет

Все исходящие от руководства организации распоряжения должны быть учтены. Для этого используется специальный журнал, в который вносится наименование приказа, его номер и дата выпуска.

Журнал обычно находится у юриста, начальника отдела кадров, секретаря или другого работника, близкого к руководящему составу предприятия.

Журнал позволяет не только зарегистрировать сам факт создания документа, но и при какой-либо надобности легко его найти.

Как организовать хранение

По хранению документа никаких особенностей нет. Как любые другие подобные бумаги, готовый, подписанный и завизированный приказ подшивается в отдельную папку, в которой и лежит весь период своего действия.

Когда актуальность его утрачивается, документ отправляется в архив, где хранится период, установленный в локально-нормативной документации фирмы или же указанный в законодательных актах, после чего утилизируется (также с соблюдением условий, указанных для этой процедуры).

Образец приказа о назначении ответственного

Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.

1. В самом начале приказа все стандартно: первым делом напишите тут название компании, наименование распоряжения, его номер и дату составления. Затем переходите к основной части.
2. Обязательно укажите тут, в связи с какими обстоятельствами создается приказ (это будет его обоснование) и поставьте ссылку на норму закона или внутренний документ компании, имеющий непосредственное отношение к формированию распоряжения (это будет основание).
3. Потом внесите собственно указание о назначении ответственного лица, обозначив его должность и ФИО.
4. Коротко отметьте его основные функции и обязанности (полный их перечень лучше привести в соответствующей должностной инструкции), а также впишите сведения о работнике (также должность и ФИО), который будет замещать ответственного сотрудника в период его отсутствия на работе по уважительным причинам.
5. В завершение не забудьте возложить контроль за исполнение данного распоряжение на кого-либо из руководящего состава предприятия (следует отметить, что контролировать выполнение приказа может и сам директор), а также собрать все необходимые подписи.

Приказ об утверждении положения о персональных данных

Приказ об утверждении положения о персональных данных – относительно новый кадровый документ, который обязан составлять работодатель во исполнение требований законодательства о защите личной информации. Этот документ позволяет обеспечить порядок в организации документооборота предприятия и осуществлять законную обработку личной информации о сотрудниках.

Правовая основа

Принимая на работу сотрудника, работодатель получает от него следующие данные личного характера:

• Ф.И.О.;
• адрес регистрации и места проживания;
• серию и номер паспорта;
• номер свидетельства ИНН;
• СНИЛС;
• о количестве детей, датах их рождения;
• о семейном положении;
• о предыдущей работе, сроках, причинах увольнения.

Согласно ст. 86-90 ТК РФ организация-работодатель должна придерживаться правил:

• обработки личной информации сотрудников;
• хранения и пользования данными;
• передачи личных данных работников.

На основании ФЗ «О персональных данных» работникам предоставляется право требовать защиту сообщаемых работодателю сведений. Для обеспечения надлежащей работы с личными данными сотрудников каждая организация разрабатывает Положение о персональных данных работников. В этом документе устанавливаются:

• какие сведения относятся к категории «персональных»;
• кто имеет доступ к сведениям работников личного характера;
• как осуществляется сохранность персональных данных (на каком носителе);
• в каком порядке происходит обработка информации;
• где фиксируются сведения о сотрудниках (оформляются ли личные дела, карточки, ведутся ли списки и т.д.);
• на каких основаниях и кому могут передаваться данные о работнике;
• как защищается доступ к данным (закодирована ли электронная информация, устанавливается ли сейф для материальных носителей);
• порядок его утверждения и изменения.

Приложение может включать образцы заявлений работников:

• о согласии с обработкой своих личных данных;
• о согласии получения дополнительных сведений в отношении работника.

Типовой вариант такого документа по указанию руководства может быть разработан:

• специалистом по кадрам;
• юристом компании;
• помощником руководителя.

Положение о персональных данных является принадлежащим к категории локальных актов предприятия. Его структура не должна противоречить действующему законодательству РФ.

Работодатель обязан не просто разработать документ, регламентирующий порядок хранения и использования информации о сотрудниках, он должен ввести его в действие. Именно для этого работодателем составляется распоряжение об утверждении разработанного положения.

приказа

Приказ должен включать в себя следующие элементы:

1. Вводную часть, в которой будет указываться:
   • наименование работодателя;
   • номер, название и дата приказа;
   • город места составления;
   • основания вынесения.
2. Основную часть, в которой прописываются:
   • факт утверждения положения по личным данным работников;
   • срок, с которого положение вводится в действие;
   • должностное лицо, допущенное к работе с личной информацией;

степень полноты допуска должностных лиц к сведениям.

Заключительную часть, которая содержит:

• указание ответственного за выполнение приказа лица;
• обязанность довести до сведения работников положения о персональных данных, взять их согласие в письменной форме на обработку сведений;
• подпись руководителя или надлежащим образом уполномоченного заместителя;
• дату ознакомления и подпись должностного лица, ответственного за выполнение распоряжения.

Только после утверждения Положения об обращении с данными работников оно вступает в силу и должно быть доведено до всеобщего сведения под роспись. Для действующих сотрудников подпись проставляется в журнале (реестре) ознакомления.

Соответствующий пункт об ознакомлении для новых сотрудников включается в трудовой договор. В качестве отдельного документа целесообразно составить согласие на обработку личных данных, которое должно быть подписано всеми работниками.

При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:

1. При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
   • до 70 тысяч рублей (для юридического лица);
   • до 5 тысяч рублей (для ИП).

Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей.

При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор).

При повторном нарушении соответствующий работник может быть уволен.

В документе установлена обязанность представления сотрудником информации о состоянии здоровья, о религиозных или политических предпочтениях, что является незаконным. Исключение составляют случаи, когда получение таких данных:

• обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
• необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
• производится с добровольного согласия работника, предоставленного в письменном виде.

Сроки хранения документов

В соответствии с ФЗ «О персональных данных» работодатель должен хранить все локальные акты об обращении с информацией в отношении работников в течение всего срока своей деятельности. Таким образом, наряду с Положением, в организациях постоянно должен храниться и приказ о его утверждении.

Приказ Министерства культуры России от 25.08.2010 №558 устанавливает, что сами сведения в отношении работников, в том числе личные дела, заявления, личные карточки, хранятся в течение 75 лет, в отношении руководителей – постоянно. Результаты обработки информации о среднем возрасте, об образовании, стаже сотрудников государственной службы хранятся постоянно.

Образец локальные акты по вопросам обработки персональных данных

Аналогичная обязанность предусмотрена в п. 2 ч. 1 ст. 18.

1 Федерального закона N 152-ФЗ: в организации должны быть изданы документы, определяющие ее политику в отношении обработки персональных данных, локальные акты, касающиеся обработки таких данных, а также устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений.

Защита персональных данных. Локальные документы

Согласие субъекта персональных данных на обработку своих персональных данных 1.

Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе 4.

В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

3 Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные были получены не от субъекта персональных данных.

ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ»О персональных данных» Статья 18. Обязанности оператора при сборе персональных данных 3.

Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

Разработка положения о персональных данных работников

С 23 февраля 2020 года вступило в силу Постановление Правительства от 13.02.2020 № 146, которым утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных.

Согласно документу, плановые проверки будут проводиться раз в 2-3 года, а перечень компаний, подлежащих контролю можно будет заранее увидеть на сайте Роскомнадзора. Как и в случае с другими видами контроля, о запланированном визите инспекторы должны будут предупредить. Если плановая проверка, то известить о ней должны за 3 рабочих дня, а если внеплановая — за 24 часа.

За нарушение Закона предусмотрена дисциплинарная, материальная, административная и уголовная ответственность. Контролирующие органы могут привлечь к административной ответственности по ст. и , штрафы составляют: для должностных лиц: от 500 до 1000 рублей; для организации: от 5000 до 10 000 рублей;

Например, можно узнать, чем грозит отсутствие согласия на обработку данных.

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ).

Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Как составить согласие на обработку персональных данных, смотрите в .

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников.

Какие локальные акты регламентируют работу с персональными данными?

Перечень персональных данных, необходимых для данной организации.

2. Список лиц, допущенных к работе с ПДн (должность, Ф.И.О., основания для доступа, пределы доступа). 3.

Инструкция о защите ПДн при использовании бумажных и любых других носителей информации, вычислительной техники и автоматизированных систем обработки и (или) передачи данных. 4.

Приказ о назначении лица или подразделения, ответственных за работу и обеспечение защиты ПДн, и наделении их соответствующими полномочиями.

5. Должностные инструкции лиц, ответственных за защиту информации.

6. План мероприятий по защите информации.

7. Перечень защищаемых объектов информатизации. 8. Приказ о вводе в эксплуатацию средств вычислительной техники, обрабатывающих информацию ограниченного доступа. 9. Приказ (распоряжение) о закреплении ПЭВМ за ответственными лицами.

10. Приказ (распоряжение) о хранении информации ограниченного доступа на машинных носителях информации.

Образец положения о персональных данных работников

В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника.

Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных. Иными словами, работодатель осуществляет сбор, хранение, систематизацию, накопление и обновление информации, касающейся работников.

На всех этапах обработки личных сведений работодатель обязан предотвращать передачу их третьим лицам при отсутствии на то законных оснований.

New Media Edu

В этом случае они должны ознакомиться с требованиями к защите и подписать соглашение о неразглашении персональных данных.

Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты персональных данных. В ст. 19 закона «О персональных данных» перечислены . Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов.

Чтобы все это понять, требуется техническая подготовка.

Персональные данные: как составить локальные акты, чтобы у инспекторов не было вопросов

В каждый ЛНА стоит включить раздел «Общие положения».

В нем указать значение ЛНА, основные термины и понятия:

1. «оператор»,
2. «трансграничная передача персональных данных» и проч.
3. «обработка персональных данных»,
4. «персональные данные»,

Также можно указать права и обязанности сторон: работодателя как оператора и сотрудников — субъектов персональных данных. 5. Сотрудников компании под роспись нужно ознакомить со всеми внутренними актами компании, которые устанавливают порядок обработки персональных данных (ст.

86 ТК РФ).Цели обработки персональных данных и содержание Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.

Примеры целей:

1. использование персональных данных в информационных системах, с которыми работает компания,
2. использование данных при составлении

Образец приказа о персональных данных работников

Часто это происходит по незнанию: не все должностные лица понимают, .

Тем не менее, поисковая фраза

«скачать образец приказа о защите персональных данных работников 2020 год»

находится на лидирующих позициях в поисковых системах. И на это есть вполне понятные причины.

Отношение государства к таким «оплошностям» решительно меняется в сторону ужесточения наказаний за них. Чтобы не иметь неприятностей, нужно организовать защиту персональных данных так, как этого требует и закон № .

В статье мы коротко расскажем о том, какой пакет документов нужно подготовить, а также дадим образец приказа о защите персональных данных работников.