0

Положение о персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее положение принято в целях сохранения и защиты персональных данных клиентов
1.2. Положение определяет права и обязанности руководителей и работников, порядок использования указанных данных в служебных целях, а также порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения персональных данных.
1.3. Настоящее Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», Федерального закона от 27.07.04 № 79-ФЗ «О государственной гражданской службе Российской Федерации», федерального закона от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников».

2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА И ИНЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Понятие персональных данных работников
Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника.  
2.2. Персональные данные работника составляют:
а) сведения о фактах, событиях и обстоятельствах частной жизни работника, позволяющие идентифицировать его, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
б) служебные сведения, а также иные сведения, связанные с профессиональной деятельностью работника, в том числе сведения о поощрениях и о дисциплинарных взысканиях;
2.3. Документами, содержащие персональные данные являются:
а) паспорт или иной документ, удостоверяющий личность;
б) трудовая книжка;
в) страховое свидетельство государственного пенсионного страхования (СНИЛС);
г) свидетельство о постановке на учёт в налоговый орган и присвоения (ИНН);
д) документы воинского учёта;
е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
ж) карточка Т-2;
з) автобиография;
и)  медицинское заключение о состоянии здоровья;
к) документы, содержащие сведения о заработной плате, доплатах и надбавках;
м) приказы о приеме лица на работу, об увольнении, а также о переводе лица на другую должность;
н) другие документы, содержащие сведения, предназначенные для использования в служебных целях.
 
3. СОЗДАНИЕ, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА И ИНЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Создание персональных данных работника.
Документы, содержащие персональные данные работника, создаются путём:
а) копирования оригиналов (документ об образовании, свидетельство ИНН, пенсионное свидетельство, паспорт и др.);
б) внесения сведений в учётные формы;
в) получения оригиналов необходимых документов (трудовая книжка, автобиография, медицинское заключение).
3.2. Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
При обработке персональных данных работника в целях их защиты и обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных должны строго учитываться положения Конституции Российской Федерации, Трудового Кодекса Российской Федерации и иных федеральных законов.
Обработка персональных данных работника осуществляется исключительно в целях:
а) обеспечения соблюдения законов и иных нормативных правовых актов;
б) содействия работникам в трудоустройстве;
в) обеспечения личной безопасности работников;
г) контроля количества и качества выполняемой работы;
д) обеспечения сохранности имущества работника и работодателя.
Все персональные данные работника следует получать у него самого, за исключением случаев, если их получение возможно только у третьей сторон.
Получение персональных данных работника у третьих лиц, возможно только при уведомлении работника об этом заранее и с его письменного согласия.
В уведомлении работника о получении его персональных данных у третьих лиц должна содержаться следующая информация:
а) о целях получения персональных данных;
б) о предполагаемых источниках и способах получения персональных данных;
в) о характере подлежащих получению персональных данных;
г) о последствиях отказа работника дать письменное согласие на их получение.
Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, равно как персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Работники и их представители должны быть ознакомлены под расписку с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.3. Сведения, содержащие персональные данные работника, включаются в его личное дело, карточку формы Т-2,  доступ к которым разрешён лицам, непосредственно использующим персональные данные работника в служебных целях. Перечень должностных лиц определён в пункте 4.1 настоящего положения.
3.4. Хранение персональных данных в бухгалтерии:
а) персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу, установленном на рабочем месте главного бухгалтера.
б) персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК главного бухгалтера.
3.5. Хранение персональных данных в отделе кадров.
Персональные данные, включённые в состав  личных дел, хранятся в запираемом шкафу, установленном на рабочем месте специалиста по кадрам. Персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК специалиста по кадрам.
Трудовая книжка, документы воинского учёта, карточка формы Т-2 хранятся в запертом металлическом сейфе.
3.6. Хранение персональных данных, указанных в административных делах УФАС по КБР.
Персональные данные, указанные в административных делах, рассматриваемых УФАС по КБР, хранятся в запираемом помещении
3.7. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.

4. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
4.1. Внутренний доступ к персональным данным работников Управления Федеральной антимонопольной службы по КБР и к персональным данным, указанным в административных делах.
Доступ к персональным данным имеют следующие должностные лица, непосредственно использующие их в служебных целях:
а) руководитель Управления ФАС России по КБР;
б) заместитель руководителя;
в) главный бухгалтер;
г) специалист по кадрам;
4.1.1. Уполномоченные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций в соответствии с должностными регламентами указанных лиц. Все остальные работники имеют право на полную информацию только об их персональных данных и обработке этих данных.
4.1.2. Получение сведений о персональных данных работников третьей стороной разрешается только при наличии заявления с указанием конкретных персональных данных и целей, для которых они будут использованы, а также письменного согласия работника, персональные данные которого затребованы.
4.1.3. Получение персональных данных работника третьей стороной без его письменного согласия возможно в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных законом.
4.2. Внешний доступ (другие организации и граждане).
Сообщение сведений о персональных данных работников  и персональных данных, содержащихся в административных делах, другим организациям и гражданам разрешается при наличии письменного согласия гражданина  и заявления подписанного руководителем организации либо гражданином, запросившим такие сведения.
4.2.1. Предоставление сведений о персональных данных гражданина без соответствующего их согласия возможно в следующих случаях:
а) в целях предупреждения угрозы жизни и здоровья;
б) при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
в) при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов.
4.2.2. Гражданин, о котором запрашиваются сведения, должен быть уведомлён о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф.
4.2.3. Запрещается передача персональных данных в коммерческих целях без его согласия.

5. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
5.1. При передаче персональных данных работников с соблюдением условий, предусмотренных разделом 4 настоящего Положения, должностные лица работодателя, обязаны предупредить лиц об ответственности в соответствии с законодательством Российской Федерации.
5.2. В целях обеспечения защиты персональных  данных, хранящихся в личных делах, работники имеют право:
а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона. Работник при отказе работодателя исключить или исправить персональные данные работника имеет право заявлять в письменной форме работодателю о своём несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
г) требовать от работодателя уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них изменениях или исключениях из них;
д) обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите персональных данных.
5.3. Запрещается передавать информацию о состоянии здоровья работника, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
5.4. При передаче персональных данных работников третьим лицам, в том числе представителям работников, в порядке установленном Трудовым кодексом Российской Федерации, 27.07.04 № 79-ФЗ «О государственной гражданской службе Российской Федерации» и настоящим Положением, и ограничивать эту информацию только теми персональными данными работников, которые необходимы для выполнения третьими лицами их функций.
5.5.

Положение об обработке и защите персональных данных работников

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается за счёт средств работодателя в порядке, установленном федеральным законом.
  
6. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной ответственности. К данным лицам могут быть применены следующие дисциплинарные взыскания:
а) замечание;
б) выговор;
в) предупреждение о неполном должностном соответствии;
г) освобождение от занимаемой должности;
д) увольнение.       
6.2. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
6.3. Копия приказа о применении к работнику дисциплинарного взыскания с указанием оснований его применения вручается работнику под расписку в течение пяти дней со дня издания приказа.
6.4. Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Работодатель до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с работника по собственной инициативе, по письменному заявлению работника или по ходатайству его непосредственного руководителя.

Весь список документов по хранению персональных данных

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.

Продолжаем разъяснять требования законодательства о персональных данных к тем, у кого есть свой сайт.

Помимо документов для размещения на сайте вам необходимо подготовить документы, которые будут храниться непосредственно у вас. Согласно закону «О персональных данных», вы как оператор персональных данных обязаны принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом. Состав и перечень этих мер определяется самостоятельно оператором (то есть вы сами определяете, что и как будете делать, для того чтобы защитить персональные данные), и к ним могут относиться (п. 1 ст.18.1 Закона «О персональных данных»):

  1. Назначение оператором-юрлицом ответственного за организацию обработки персональных данных;
  2. Издание оператором–юрлицом документов, определяющих его политику в отношении персональных данных, локальных актов по обработке персональных данных, локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений, устранение последствий нарушений;
  3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  4. Осуществление внутреннего контроля и аудита соответствия обработки персональных данных закону, требованиям к защите, политике оператора и локальным актам;
  5. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
  6. Ознакомление работников оператора, которые осуществляют обработку персональных данных, с требованиями к защите персональных данных, документами и локальными актами.

Не все из этого может быть реализовано владельцами сайтов – физлицами (например, это касается ознакомления работников с документами), но это не значит, что доступ посторонних лиц (даже родственников и друзей) к персональным данным может быть неограничен. В этом случае они должны ознакомиться с требованиями к защите и подписать соглашение о неразглашении персональных данных.

Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты персональных данных. В ст. 19 закона «О персональных данных» перечислены необходимые действия оператора.

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.

Некоторые компании и сайты оказывают услуги в их подготовке: Контур, Б-152, FreshDoc. А вот здесь можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:   

1. Перечень сведений конфиденциального характера

Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример.

2. Инструкция администратора информационной безопасности

Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый, второй.

3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).

4. Перечень персональных данных, подлежащих защите в информационных системах.Пример.
Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

5. Приказ об утверждении мест хранения персональных данных.

Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример.

6. Перечень помещений, в которых ведется обработка персональных данных.

7. Инструкция пользователей информационной системы персональных данных.

Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.

8. Приказ о назначении комиссии по уничтожению персональных данных.

Уничтожению персональных данных придается особое значение.

Составляем положение о персональных данных работников — образец 2017

После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано здесь. Пример Приказа.

9. Проект системы защиты информационной системы персональных данных.Пример.

10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.Пример.

11. План внутренних проверок режима защиты персональных данных.

План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример.

12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных.Пример.

13. Журнал учета носителей информации информационной системы персональных данных.

14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.

Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример.

15. План проведения внутренних проверок состояния защиты ПД.

Образец документа можно найти здесь и здесь.

16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.

Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример.

17. Правила обработки персональных данных без использования средств автоматизации. О регулировании здесь.

18. Положение о разграничении прав доступа к обрабатываемым персональным данным.Пример.

19. Акт классификации информационной системы персональных данных.

Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.

В Акте укажите: кем используется система, категории персональных данных, объем обрабатываемых данных, тип информационной системы, структуру информационной системы, режим обработки персональных данных, наличие подключений к другим сетям связи, местонахождение технических средств. Про информационные системы и классификацию можно прочитать здесь. Пример и еще один.

20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных.Пример.

21. Инструкция по организации парольной защиты.

22. Журнал периодического тестирования средств защиты информации.

23. Форма акта уничтожения документов, содержащих персональные данные.

Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё.

24. Журнал учета средств защиты информации(перечень технических средств).Пример.

25. Журнал проведения инструктажа по информационной безопасности (для организаций).

26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.

27. Приказ о перечне лиц, допущенных к обработке персональных данных.

28. Положение о защите персональных данных.

Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.

Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).

Пример и ещё один.

29. Соглашение о неразглашении персональных данных.

Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример.

30. План мероприятий по обеспечению безопасности персональных данных.

В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример.

31. Модель угроз безопасности в информационной системе персональных данных.

Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Подробнее.

Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример.

32. Форма ответа на запрос субъекта персональных данных.Пример.

Не забывайте заполнять и обновлять эти документы!

Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на legal4advice@gmail.com.

2.2.3. Положение об обработке персональных данных работников.

Положение об обработке персональных данных – это локальный нормативный акт, в котором в соответствии с главой 14 ТК РФ «Защита персональных данных работника» (ст. 85–90) регламентированы требования при обработке персональных данных работника, гарантии их за щиты, хранение и использование персональных данных, права работника по защите персональных данных и ответственность работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Положение об обработке персональных данных утверждается и вводится в действие приказом руководителя предприятия и является обязательным для исполнения всеми работниками. При разработке данного положения рекомендуется руководствоваться следующими принципами:

• личная ответственность работников за сохранность и конфиденциальность сведений о персональных данных работников, а также носителей этой информации;

• разбиение знания персональных данных между разными работниками предприятия;

• недопущение свободного доступа работников к документам и материалам, содержащим сведения о персональных данных;

• наличие четкой разрешительной системы доступа работников предприятия к документам, делам и базам данных, содержащих персональные данные.

В первой части документа «Общие положения» дается определение цели, для которой создается Положение об обработке персональных данных.

ПОЛОЖЕНИЕ. об обработке персональных данных работников

Целью создания данного документа является обеспечение защиты персональных данных сотрудников от несанкционированного доступа, неправомерного их использования или утраты. В этом же разделе представлен список документов, на основании которых разрабатывается Положение об обработке персональных данных (Конституция РФ, ТК РФ, КоАП РФ, ГК РФ, УК РФ, Федеральный закон «Об информации, информатизации и защите информации»). Также в первой части положения определяется порядок утверждения и введения в действие Положения об обработке персональных данных.

Во второй части положения дается определение понятию «персональные данные». «Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника». Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

В состав персональных данных работника может входить следующая информация:

• анкетные и биографические данные;

• сведения об образовании;

• сведения о трудовом и общем стаже;

• сведения о составе семьи;

• паспортные данные;

• сведения о воинском учете;

• сведения о заработной плате сотрудника;

• сведения о социальных льготах;

• наименование специальности;

• занимаемая должность;

• сведения о наличии судимостей;

• адрес места жительства;

• домашний телефон;

• место работы или учебы членов семьи и родственников;

• характер взаимоотношений в семье;

• содержание трудового договора;

• состав декларируемых сведений о наличии материальных ценностей;

• содержание декларации, подаваемой в налоговую инспекцию;

• подлинники и копии приказов по личному составу;

• личные дела и трудовые книжки сотрудников;

• основания к приказам по личному составу;

• дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

• копии отчетов, направляемые в органы статистики.

Персональные данные относятся к категории конфиденциальной информации. Работодатель не имеет права требовать от работника предоставления информации, касающейся других лиц. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

Следующий раздел документа регламентирует порядок работы с персональными данными сотрудников и может называться «Обработка персональных данных».

Персональные данные следует получать у самого работника. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Работодатель не имеет права требовать у работника данные о его политических, религиозных и иных убеждениях и частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.

Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

• предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

• разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

• передавать персональные данные работника представителям работников в порядке, установленном ТК РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Раздел «Доступ к персональным данным» определяет список сотрудников, которые могут иметь доступ к этой информации. Обычно это:

• руководитель организации;

• руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);

• при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;

• сотрудники бухгалтерии;

• сотрудники службы управления персоналом;

• сотрудники компьютерных подразделений;

• сам работник, носитель данных.

Также к числу имеющих право доступа к персональным данным вне организации можно отнести государственные и негосударственные функциональные структуры в сфере своей компетенции:

• налоговые инспекции;

• правоохранительные органы;

• органы статистики;

• страховые агентства;

• военкоматы;

• органы социального страхования;

• пенсионные фонды;

• подразделения муниципальных органов управления;

• другие организации с письменного разрешения сотрудника.

Так как персональные данные являются конфиденциальной информацией, в Положении обязательно существует раздел «Защита персональных данных». Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать следующие меры:

• ограничить и регламентировать состав работников, функциональные обязанности которых требуют конфиденциальных знаний;

• установить строгое избирательное и обоснованное распределение документов и информации между работниками;

• рационально разместить рабочие мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

• ознакомить работников с требованиями нормативно – методических документов по защите информации и сохранении тайны;

• обеспечить необходимые условия в помещении для работы с конфиденциальными документами и базами данных;

• обеспечить защиту персональных данных сотрудника на электронных носителях;

• определить и регламентировать состав работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

• организовать порядок уничтожения информации;

• своевременно выявлять нарушения требований разрешительной системы доступа работниками подразделения;

• проводить воспитательную и разъяснительную работу с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

• не допускать выдачу личных дел сотрудников на рабочие места руководителей.

Для обеспечения внешней защиты персональных данных также рекомендуется разработать определенные правила:

• порядок приема, учета и контроля деятельности посетителей;

• пропускной режим организации;

• учет и порядок выдачи удостоверений;

• технические средства охраны, сигнализации;

• порядок охраны территории, зданий, помещений, транспортных средств;

• требования к защите информации при интервьюировании и собеседованиях.

Раздел «Права и обязанности работника» закрепляет права работника, регламентирующие защиту его персональных данных, и обязывает его сообщать работодателю комплекс достоверных, документированных персональных данных, состав которых установлен ТК РФ, а также своевременно сообщать работодателю об изменении своих персональных данных.

Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы. Раздел Положения об обработке персональных данных «Ответственность за разглашение конфиденциальной информации, связанной с персональными данными» констатирует, что юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

Статья 90 ТК РФ устанавливает ответственность лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника.

Статья 5.27 КоАП РФ устанавливает ответственность должностных лиц, которые должны нести дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Статья 5.39 КоАП РФ устанавливает ответственность должностных лиц за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное представление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации – наложение административного штрафа в размере от 5 до 10 минимальных размеров оплаты труда.

В соответствии с ГК РФ лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.

Нарушение режима защиты, обработки и порядка использования наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

Все работники и их представители должны быть ознакомлены под расписку с Положением об обработке персональных данных, устанавливающим порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

← Содержание.

Основные понятия

Если просто, то персональные данные — это сведения о человеке. Закон № 152-ФЗ от 26.07.2006 дает более длинную формулировку, где человек именуется субъектом, который определяется по четким критериям правовых норм. Также вопрос регламентирован главой 14 Трудового кодекса Российской Федерации и Конституцией Российской Федерации.

В первую очередь тема важна для работодателей, так как трудовые правоотношения напрямую связаны с обработкой сведений о персонале. Именно поэтому на каждом предприятии утверждается Положение о работе с персональными данными работников. К этим данным относятся:

  • место жительства (регистрации);
  • номер телефона;
  • данные о документе, удостоверяющем личность;
  • доходы (зарплата, налоги);
  • наличие детей;
  • семейное положение;
  • образование;
  • состояние здоровья;
  • количество проработанных лет (стаж).

Утверждая Положение об обработке и защите персональных данных, вы можете дополнить или детализировать перечень.

Положение о защите персональных данных — 2018

Если обратиться к ст. 87 Трудового кодекса Российской Федерации и к статье 81.1 ФЗ 152, то прямого указания на порядок оформления работы с данными сотрудников нет. Нормы просто указывают на необходимость регламентировать такие операции. Самый распространенный на практике способ — издание соответствующего внутреннего документа. Образец Положения о персональных данных — 2018 можно скачать после прочтения статьи.

Локальный акт утверждается приказом по предприятию и подлежит доведению до сведения работников. Кроме ознакомления с самим локальным актом, работники подписывают согласие на обработку. Обработка — это сбор, систематизация, накопление, хранение, передача, уничтожение информации. Большую часть операций осуществляет специалист отдела кадров.

Цель локального акта — защитить личную, семейную тайну, обеспечить неприкосновенность частной жизни. Исходя их этих принципов, необходимо отразить в локальном документе следующее:

  • виды ПД;
  • действия, которые осуществляются с этими данными;
  • кто и каким образом имеет доступ к охраняемой информации;
  • обязанности лиц, осуществляющих обработку;
  • ответственность за разглашение.

Образец Положения о персональных данных работников — 2018

Доступ к информации

Безусловно, доступ к информации имеется у оператора (тот, кто осуществляет обработку).

Положение о защите, хранении, обработке и передаче персональных данных работников

Сам субъект имеет право обратиться к оператору за информацией, в том числе с требованием уточнить, изменить или дополнить ее. Сведения предоставляются оператором в доступной форме, при этом в них не должно быть информации о других лицах.

Статья 14 ФЗ № 152 содержит исключение, когда доступ субъекта ПД к его данным может быть ограничен. Речь идет о случаях легализации преступно полученных денежных средств, когда данные были получены в ходе ОРМ, и другие случаи.

Ответственность

Если сведения, ограниченные в распространении, были сообщены другим лицам, то виновные граждане понесут ответственность в виде штрафа в сумме 500 или 1000 рублей. Должностные лица за утечку данных заплатят от 4000 до 5000 рублей, согласно ст. 13.14 КоАП РФ.

Чтобы сотрудники вашей компании не допускали подобных нарушений, издайте локальный акт и контролируйте его соблюдение. Если вам необходим образец Положения об обработке персональных данных работников, то можно его скачать в нашей статье.

Кроме того, за разглашение личных данных могут уволить, так как эти сведения относятся к категории охраняемых законом. Основание (статья) для расторжения трудовых отношений — подпункт «в», пункта 6, части 1, статьи 81 ТК РФ.

Утверждено приказом руководителя ________________________________ (наименование юридического лица) от "___" _____________ 20__ N __ Положение о защите персональных данных ___________________________________________________________________________ (наименование юридического лица)

1. Общие положения.

1.1. Настоящее Положение принято в целях сохранения личной тайны и защиты персональных данных работников (наименование юридического лица).

1.2. Положение определяет права и обязанности руководителей и работников, порядок использования указанных данных в служебных целях, а также порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения персональных данных работников.

1.3. Настоящее Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции РФ, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", положений главы 14 "Защита персональных данных работника" Трудового кодекса РФ.

1.4. В настоящем Положении используются следующие понятия и термины:

— работник — физическое лицо, вступившее в трудовые отношения с работодателем;

— работодатель ____________________________________; (наименование юридического лица)

— персональные данные — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника;

— служебные сведения (служебная тайна) — информация (сведения), доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.

2. Понятие и состав персональных данных работника.

2.1. Понятие персональных данных работника.

Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

2.2. Персональные данные работника составляют:

а) сведения о фактах, событиях и обстоятельствах частной жизни работника, позволяющие идентифицировать его, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

б) служебные сведения, а также иные сведения, связанные с профессиональной деятельностью работника, в том числе сведения о поощрениях и о дисциплинарных взысканиях.

2.3. Документами, содержащими персональные данные, являются:

а) паспорт или иной документ, удостоверяющий личность;

б) трудовая книжка;

в) страховое свидетельство государственного пенсионного страхования;

г) свидетельство о постановке на учет в налоговый орган и присвоении ИНН;

д) документы воинского учета;

е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;

ж) карточка N Т-2;

з) автобиография;

и) личный листок по учету кадров;

к) медицинское заключение о состоянии здоровья;

л) документы, содержащие сведения о заработной плате, доплатах и надбавках;

м) приказы о приеме лица на работу, об увольнении, а также о переводе лица на другую должность;

н) другие документы, содержащие сведения, предназначенные для использования в служебных целях.

3. Создание, обработка и хранение персональных данных работника.

3.1. Создание персональных данных работника.

Документы, содержащие персональные данные работника, создаются путем:

а) копирования оригиналов (документа об образовании, свидетельства ИНН, пенсионного свидетельства);

б) внесения сведений в учетные формы (на бумажных и электронных носителях);

в) получения оригиналов необходимых документов (трудовой книжки, личного листка по учету кадров, автобиографии, медицинского заключения).

3.2. Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

3.2.1. При обработке персональных данных работника в целях их защиты и обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных должны строго учитываться положения Конституции РФ, Трудового кодекса РФ и иных федеральных законов.

3.2.2. Обработка персональных данных работника осуществляется исключительно в целях:

а) обеспечения соблюдения законов и иных нормативных правовых актов;

б) содействия работникам в трудоустройстве;

в) обеспечения личной безопасности работников;

г) контроля количества и качества выполняемой работы;

д) обеспечения сохранности имущества работника и работодателя.

3.2.3. Все персональные данные работника следует получать у него самого, за исключением случаев, если их получение возможно только у третьей стороны.

3.2.4. Получение персональных данных работника у третьих лиц возможно только при уведомлении работника об этом заранее и с его письменного согласия.

В уведомлении работника о получении его персональных данных у третьих лиц должна содержаться следующая информация:

а) о целях получения персональных данных;

б) о предполагаемых источниках и способах получения персональных данных;

в) о характере подлежащих получению персональных данных;

г) о последствиях отказа работника дать письменное согласие на их получение.

3.2.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, равно как персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.2.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.2.7. Работники и их представители должны быть ознакомлены под расписку с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.3. Сведения, содержащие персональные данные работника, включаются в его личное дело, карточку формы N Т-2, а также содержатся на электронных носителях информации, доступ к которым разрешен лицам, непосредственно использующим персональные данные работника в служебных целях. Перечень должностных лиц определен в п. 4.1 настоящего Положения.

3.4. Хранение персональных данных в бухгалтерии:

а) персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу, установленном на рабочем месте главного бухгалтера;

б) персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК главного бухгалтера.

3.4.1. Персональные данные, включенные в состав личных дел, хранятся в запираемом шкафу, установленном на рабочем месте инспектора по кадрам. Персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК инспектора по кадрам.

3.4.2. Трудовая книжка, документы воинского учета, карточка формы N Т-2 хранятся в запертом металлическом сейфе.

3.4.3. Доступ к ПК строго ограничен кругом лиц, определенных в п. 4.1 настоящего Положения. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.

4. Доступ к персональным данным работника.

4.1. Внутренний доступ (работники юридического лица).

Доступ к персональным данным работников имеют следующие должностные лица, непосредственно использующие их в служебных целях:

а) руководитель ____________________________________; (наименование юридического лица)

б) заместитель руководителя;

в) главный бухгалтер;

г) инспектор по кадрам;

д) специалист (по обеспечению безопасности).

4.1.1. Уполномоченные лица имеют право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц. Все остальные работники имеют право на полную информацию только об их персональных данных и обработке этих данных.

4.1.2. Получение сведений о персональных данных работников третьей стороной разрешается только при наличии заявления с указанием конкретных персональных данных и целей, для которых они будут использованы, а также письменного согласия работника, персональные данные которого затребованы.

4.1.3. Получение персональных данных работника третьей стороной без его письменного согласия возможно в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных законом.

4.2. Внешний доступ (другие организации и граждане).

Сообщение сведений о персональных данных работников другим организациям и гражданам разрешается при наличии письменного согласия работника и заявления, подписанного руководителем организации либо гражданином, запросившим такие сведения.

4.2.1. Предоставление сведений о персональных данных работников без соответствующего их согласия возможно в следующих случаях:

а) в целях предупреждения угрозы жизни и здоровью работника;

б) при поступлении официальных запросов в соответствии с положениями Федерального закона "Об оперативно-розыскной деятельности";

в) при поступлении официальных запросов из налоговых органов, органов Пенсионного фонда РФ, органов ФСС РФ, судебных органов.

4.2.2. Работник, о котором запрашиваются сведения, должен быть уведомлен о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф.

4.2.3. Запрещается передача персональных данных работника в коммерческих целях без его согласия.

5. Защита персональных данных работника.

5.1. При передаче персональных данных работников с соблюдением условий, предусмотренных разд. 4 настоящего Положения, должностные лица работодателя обязаны предупредить лиц об ответственности в соответствии с законодательством РФ.

Положение об обработке персональных данных работников

В целях обеспечения защиты персональных данных, хранящихся в личных делах, работники имеют право:

а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона. Работник при отказе работодателя исключить или исправить персональные данные работника имеет право заявлять в письменной форме работодателю о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

г) требовать от работодателя уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них изменениях или исключениях из них;

д) обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите персональных данных гражданского служащего.

5.3. Запрещается передавать информацию о состоянии здоровья работника, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

5.4. При передаче персональных данных работников третьим лицам, в том числе представителям работников, в порядке, установленном Трудовым кодексом РФ и настоящим Положением, ограничивать эту информацию только теми персональными данными работников, которые необходимы для выполнения третьими лицами их функций.

5.5. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается за счет средств работодателя в порядке, установленном федеральным законом.

6. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работника.

6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной ответственности. К данным лицам могут быть применены следующие дисциплинарные взыскания:

а) замечание;

б) выговор;

в) предупреждение о неполном должностном соответствии;

г) освобождение от занимаемой должности;

д) увольнение.

6.2. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.

6.3. Копия приказа о применении к работнику дисциплинарного взыскания с указанием оснований его применения вручается работнику под расписку в течение пяти дней со дня издания приказа.

6.4. Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Работодатель до истечения года со дня издания приказа о применении дисциплинарного взыскания имеет право снять его с работника по собственной инициативе, по письменному заявлению работника или по ходатайству его непосредственного руководителя.

Источник — "Экономико-правовой бюллетень", 2012, № 6

admin

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *