Изменения в Положение вносятся на основании Приказов Генерального директора. Организации. 3. Состав персональных данных.

Содержание

Положение о защите персональных данных: образец

Положение о персональных данных сотрудников — это внутренний локальный акт организации, наличие которого — в фокусе проверок, проводимых Роскомнадзором. Поэтому многие компании озадачены вопросом о том, как разработать положение о защите персональных данных (2020), если такого документа у них ранее не было. В статье расскажем, на что нужно обратить особое внимание при его разработке, чтобы не допустить нарушения законодательства.

Если я нарушаю закон

Работодатели массово стали получать письма из Роскомнадзора с предупреждением о том, что при проверке компании могут получить серьезные штрафы за нарушение норм закона от 27.07.2006 № 152-ФЗ (далее — Закон). По нему работодатель обязан гарантировать защиту такой информации от противоправного доступа и использования третьими лицами. Положение о работе с персональными данными работников помогает решить эти задачи.

С 23 февраля 2020 года вступило в силу Постановление Правительства от 13.02.2019 № 146, которым утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Согласно документу, плановые проверки будут проводиться раз в 2-3 года, а перечень компаний, подлежащих контролю можно будет заранее увидеть на сайте Роскомнадзора. Как и в случае с другими видами контроля, о запланированном визите инспекторы должны будут предупредить. Если плановая проверка, то известить о ней должны за 3 рабочих дня, а если внеплановая — за 24 часа.

За нарушение Закона предусмотрена дисциплинарная, материальная, административная и уголовная ответственность. Контролирующие органы могут привлечь к административной ответственности по ст. 13.11 и 13.14 КоАП, штрафы составляют:

  • для должностных лиц: от 500 до 1000 рублей;
  • для организации: от 5000 до 10 000 рублей;
  • для должностных лиц, в связи с исполнением служебных или профессиональных обязанностей: от 4000 до 5000 рублей.

Наиболее распространенными нарушениями, по данным инспекторов, являются обработка персоданных без согласия их владельца либо с нарушениями, невыполнение требования об уничтожении личной информации, нарушение условий хранения таких сведений.

Что такое персональные данные

Это любая информация, необходимая работодателю при установлении трудовых отношений, которая касается сотрудника. Например, фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Примерами документов, включающих личные данные, могут служить:

  • карточка сотрудника, содержащая Ф.И.О. лица, сведения о составе семьи, образовании;
  • трудовая книжка со стажем с предшествующих мест работы;
  • дипломы, сертификаты об образовании;
  • трудовой договор.

Запрещено получать и обрабатывать данные, которые не относятся напрямую к трудовой деятельности. К примеру, сведения о вероисповедании, национальной, политической принадлежности. Данная информация получается исключительно от самих сотрудников. Эти условия должны быть включены в положение об обработке и защите персональных данных. Работодатели обязаны уведомить работника и получить от него письменное согласие на обработку, хранение, использование и распространение его данных.

Храните данные правильно

Личные данные сотрудников содержатся в их личных карточках и личных делах. Законодательство обязывает каждое конкретное предприятие разрабатывать правила использования и хранения данных о своих работниках.

Положение о защите персональных данных может быть как отдельным документом, так и разделом, включенным в действующие Правила внутреннего трудового распорядка.

Чтобы сохранить конфиденциальность информации о людях, работающих в организации, составляется список должностных лиц, имеющих к ней доступ. Приказом назначается ответственный за сбор, хранение и обработку конфиденциальных данных. Работники, руководители, генеральный директор предприятия подписывают Соглашение о неразглашении.

Информация о персональных данных сотрудников на предприятии может храниться как в бумажном, так и в электронном виде. В наше время такая информация чаще всего хранится смешанным способом.

Образец положения о персональных данных работников (2020) и его разработка

На первом этапе разработки нужно определить, какие данные используются в компании, как их получают, хранят, обрабатывают.

Для оформления организационных документов используют общие правила: в заголовке указывают наименование организации, дату и номер документа, в правом верхнем углу располагают гриф утверждения.

В положение включают следующую информацию:

  • цели и задачи предприятия при работе с конфиденциальными данными;
  • перечни таких данных;
  • описание операций с данными, которые часто используются на предприятии;
  • способы доступа к данным;
  • перечни и обязанности персонала фирмы при использовании информации;
  • права сотрудников фирмы на доступ к информации;
  • ответственность работников предприятия за разглашение информации.

Положение утверждается приказом руководителя компании. Образец положения об обработке персональных данных работников должен быть доступен всем сотрудникам для ознакомления. Им следует поставить свою подпись в листе или журнале ознакомления, который, как правило, заводит кадровая служба работодателя. Журнал представляет собой перечень работников компании, где каждый ставит подпись после прочтения этого локального акта.


Образец положения о персональных данных 2020

Скачать

Все работники Организации должны быть ознакомлены с настоящим Положением под роспись. Режим конфиденциальности персональных данных.

Положение о защите и обработке персональных данных

Положение о персональных данных

Утверждено

Приказом Директора

№ __ от 28.06.2017 года 

Директор ООО «ПЦ Дивиус»

Гусев И.М. 

/____________________/

 

 

 

ПОЛОЖЕНИЕ

О ПЕРСОНАЛЬНЫХ ДАННЫХ

 

 

г. Воронеж, 2017 г.

1. ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1. Настоящим Положением «О персональных данных» (Далее, — «Положение») определяется порядок обработки и защиты персональных данных работников Общества с ограниченной ответственностью «Правовой центр Дивиус» (Далее, — «Общество»), а также права и обязанности Общества и его работников в области персональных данных. Любая передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.

 

1.2. Целью настоящего Положения является обеспечение защиты прав, свобод и законных интересов работников Общества при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.   

 

1.3. В процессе обработки и защиты персональных данных работников Общество руководствуется положениями Конституции РФ, Гражданского кодекса РФ, Трудового кодекса РФ, Федерального закона «О защите персональных данных» от 27.07.2006 г. № 152-ФЗ, Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства РФ от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Приказа Министерства культуры РФ от 25.08.2010 г. № 558 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», других нормативных актов РФ, а также настоящим Положением.

 

1.4. Сведения о персональных данных работников относятся к числу конфиденциальных и составляют охраняемую законом тайну Общества. Режим конфиденциальности, применяемый в отношении персональных данных, может быть снят только в случаях, предусмотренных действующим законодательством.

 

2. ОСНОВНЫЕ ПОНЯТИЯ

 

2.1. Для целей настоящего Положения используются следующие основные понятия:

 

·   персональные данные работника — любая информация, относящаяся прямо или косвенно к конкретному работнику Общества и необходимая Обществу в связи с трудовыми отношениями, существующими между Обществом и работником;

·   обработка персональных данных работника — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

·   распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

·   предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

·   блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

·   уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

·   обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику;

·   информационные системы персональных данных — совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

 

2.2. Иные понятия, употребляемые в настоящем Положении, будут иметь значение, придаваемое им действующим законодательством РФ.

 

3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Общество вправе требовать и получать от работника только те персональные данные, которые касаются трудовых отношений и характеризуют работника именно как сторону трудового договора. Общество не вправе требовать от работника предоставления персональных данных, которые не связанны с осуществлением его трудовой деятельности, за исключением случаев, прямо предусмотренных действующим законодательством РФ.  

 

3.2. В процессе трудовых взаимоотношений Общество может использовать следующий примерный перечень документов, содержащих персональные данные работников:  

 

— материалы по анкетированию, тестированию, проведению собеседований с работником, автобиография, характеристика работника;

— паспорт или иной документ, удостоверяющий личность работника;

— личная карточка работника по форме Т-2, приказы по личному составу Общества, а также иные документы по учету труда и его оплаты;

— трудовая книжка работника;

— свидетельство о заключении брака, рождении детей, а также иные документы, которые могут понадобиться Обществу для предоставления работнику определенных льгот, предусмотренных законодательством;

— документы воинского учета;

— справка о доходах с предыдущего места работы;

—  документы об образовании, материалы по аттестации работника, а также другие документы, подтверждающие квалификацию работника, профессиональные навыки или обосновывающие занятие определенной должности;

— документы обязательного пенсионного страхования;

— свидетельство о постановке на учет физического лица в налоговом органе;

— трудовой договор;

— документы, необходимые для начисления работнику заработной платы;

— медицинское заключение – в случае приема на работу лица, не достигшего восемнадцатилетнего возраста, а также иных лиц, которые в соответствии с законодательством обязаны проходить предварительный медицинский осмотр (обследование) при заключении трудового договора; 

— документы планирования, учета, анализа и отчетности по вопросам кадровой работы;

— отчетные документы, направляемые уполномоченным государственным органам и органам местного самоуправления;

— иные документы, имеющие отношение к трудовой деятельности работника.

 

 

 

3.3. Общество не вправе требовать предоставления, а также осуществлять обработку персональных данных, которые не являются необходимыми Обществу в связи с трудовыми отношениями. Необходимость получения и обработки тех или иных персональных данных работников, а также взаимосвязь таких данных с трудовой деятельностью работника определяется лицами, осуществляющими обработку персональных данных, в каждом случае отдельно с учетом всех обстоятельств, подлежащих оценке.

 

3.4. Должностным лицам Общества следует учитывать, что информация, собираемая Обществом в отношении соискателей на вакантные должности, также относится к персональным данным вне зависимости от того, принят ли соискатель на вакантную должность или нет. В случае если с соискателем не были установлены трудовые отношения, в отношении него не применяются нормы о защите персональных данных, установленные Трудовым кодексом РФ. В то же время в отношении собранных персональные данных соискателя в полной мере применяются требования о сборе, обработке, хранении, защите персональных данных, установленные Федеральным законом «О защите персональных данных».

 

3.5. При заключении трудового договора от соискателя могут быть затребованы только те документы, которые определены в ст. 65 Трудового кодекса РФ.

 

В некоторых случаях действующее законодательство с учетом специфики трудовой деятельности и категории лиц, принимаемых на работу, может устанавливать дополнительный перечень документов, которые должны предоставляться данными лицами при приеме на работу или в процессе осуществления трудовой деятельности. Так, например, при приеме на работу иностранного гражданина Общество вправе требовать предоставления лицом разрешения на работу (п. 4 ст. 13 Федерального закона «О правовом положении иностранных граждан в Российской Федерации» № 115-ФЗ от 25.07.2002 г.). Сведения, содержащиеся в этих документах, также будут относиться к персональным данным.          

 

Требовать от лица, поступающего на работу, предоставления других документов, не предусмотренных действующим законодательством, запрещается.

 

3.6. При использовании фотографий работников следует учитывать следующие особенности:  изображение любого лица (соответственно и работника в том числе) охраняется положениями ст. 152.1 Гражданского кодекса РФ, которые предусматривают, что обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. Таким образом, при использовании изображения работника следует предварительно заручиться его согласием. Это согласие может быть выражено работником и в устной форме, так как закон не требует обязательного облечения данного согласия в письменную форму.

    

4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1. Должностные лица Общества, осуществляющие обработку персональных данных работников, должны учитывать следующие базовые принципы, установленные действующим законодательством (ст. 5 Федерального закона «О персональных данных») в отношении процесса обработки персональных данных:

·   обработка должна осуществляться на законной и справедливой основе;

·   обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;

·   не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

·   обработке подлежат только те персональные данные, которые отвечают целям обработки;

·    содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;

·   при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях — актуальность по отношению к целям обработки. Общество должно принимать необходимые меры по удалению или уточнению неполных или неточных данных;

·   форма хранения персональных данных должна позволять определять субъекта этих данных (т.е. конкретного работника);

·   хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого является работник. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

4.2. Общество может осуществлять обработку персональных данных работников исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

 

4.3. Согласие работника на обработку персональных данных.

 

4.3.1. По общему правилу, установленному ст. 6 Федерального закона «О персональных данных», обработка персональных данных осуществляется только с согласия субъекта персональных данных. Вместе с тем, в качестве исключения, ст. 6 вышеназванного закона допускает обработку персональных данных без согласия субъекта персональных данных в случае, когда это необходимо для исполнения договора, одной из сторон которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных. Кроме того, закон допускает обработку персональных данных без согласия лица, когда такая обработка необходима для осуществления и выполнения возложенных законодательством Российской Федерации на лицо, осуществляющего такую обработку, функций, полномочий и обязанностей.

 

Поскольку работник является стороной трудового договора, а обработка его персональных данных производится Обществом для осуществления и выполнения возложенных законом на Общество полномочий и обязанностей, то согласие на обработку персональных данных от работника получать не нужно, за исключением случаев, когда обработка этих данных выходит за рамки трудовых отношений, либо когда действующее законодательство прямо предусматривает необходимость получения такого согласия. При этом в некоторых случаях законодательство может устанавливать необходимость получения письменного согласия работника на обработку персональных данных.

 

4.3.2. Согласие работника на обработку персональных данных должно быть свободным, конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано самим работником или его представителем. В случае получения согласия на обработку персональных данных от представителя работника, полномочия данного представителя на дачу такого согласия от имени работника проверяются должностными лицами Общества, осуществляющими обработку персональных данных.

 

4.3.3. Письменное согласие работника на обработку его персональных данных должно содержать следующие сведения:

·   фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе. Если письменное согласие вместо работника дает его представитель согласие должно содержать: фамилию, имя, отчество, адрес представителя работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;

·   наименование Общества или иного лица, получающего согласие работника. Если обработка данных будет поручена Обществом другому лицу: наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку по поручению Общества;

·   цель обработки;

·   перечень данных, на обработку которых дается согласие субъекта персональных данных;

·   перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки;

·   срок, в течение которого действует согласие, а также способ его отзыва;

·   подпись субъекта персональных данных.

 

4.3.4. Согласие на обработку персональных данных может быть отозвано работником в любое время. В случае отзыва работником согласия на обработку его персональных данных Общество обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва (данный срок не применяется к персональным данным, содержащимся в документах, срок хранения которых определен законодательством).

 

В случае отзыва работником согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия работника только при наличии оснований, предусмотренных в законе (п. 2 ст. 9 ФЗ «О персональных данных»).

 

4.4. Персональные данные работника могут быть сообщены третьим лицам только с предварительного письменного согласия работника. Общество вправе сообщать третьим лицам персональные данные работника без его согласия только в случаях прямо предусмотренных действующим законодательством.

 

4.5. Письменное согласие работника на передачу персональных данных третьему лицу оформляется таким образом, чтобы из его содержания было понятно, кому будут передаваться персональные данные и с какой целью.

 

4.6. При передаче персональных данных работников Общество обязано предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

   

Должностные лица Общества, осуществляющие обработку персональных данных, отказывают в предоставлении персональных данных, если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение такой информации или же отсутствует письменное согласие работника на предоставление сведений о нем лицу, обратившемуся с запросом. В таком случае обратившемуся лицу выдается письменное уведомление об отказе в предоставлении персональных данных.

 

4.7. Общество не имеет права получать и обрабатывать персональные данные работника о его частной жизни. Вместе с тем в случаях, непосредственно связанных с вопросами трудовых отношений, Общество вправе получать и обрабатывать данные о частной жизни работника при условии наличия его письменного согласия.

 

4.8. Общество не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

 

4.9. Все персональные данные Общество вправе получать только от самого работника. Если персональные данные возможно получить только от третьего лица, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. При уведомлении работника о намерении Общества получить информацию от третьего лица Общество должно сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.

 

Если работник отказывается предоставить Обществу свои персональные данные, предоставление которых является обязательным в соответствии с федеральным законом, должностные лица Общества, осуществляющие обработку персональных данных, разъясняют работнику последствия такого отказа. 

 

4.10. Общество вправе поручить обработку персональных данных другому юридическому или физическому лицу, не находящемуся с Обществом в трудовых отношениях, на основании заключаемого с этим лицом договора. В этом случае обработка таких данных третьим лицом возможна только с согласия работника. При этом ответственность перед работником за действия указанного лица несет Общество.

 

Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством. В поручении Общества, данному такому лицу, должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с требованиями законодательства.

 

4.12. Обработка персональных данных работников в статистических целях может осуществляться без согласия работников только при условии обезличивания персональных данных (если иное прямо не предусмотрено законодательством).

 

4.13. Обработка персональных данных работников может осуществляться как с использованием средств автоматизации, так и без их использования. Обработкой персональных данных без применения средств автоматизации (неавтоматизированной обработкой) считаются использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из работников, которые осуществляются при непосредственном участии человека. Данное правило распространяется также на те случаи, когда персональные данные содержаться в информационной системе или извлечены из такой системы. 

 

При обработке персональных данных без использования средств автоматизации следует учитывать требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 г. № 687.

 

4.14. При принятии решений, затрагивающих интересы работника, Общество не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

 

4.15. Изменение и дополнение персональных данных.

 

4.15.1. Общество обеспечивает своевременное изменение или дополнение неточных, неполных или неактуальных персональных данных работника по своей инициативе или на основании обращения работника.

 

4.15.2. В случае выявления неточных персональных данных при обращении работника Общество обязано осуществить блокирование персональных данных работника с момента такого обращения на весь период проверки. В случае подтверждения факта неточности или неполноты персональных данных Общество вносит необходимые изменения и дополнения не позднее семи рабочих дней с момента предоставления работником данных, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, после чего снимает  блокирование персональных данных. 

 

Общество уведомляет работника или его представителя о внесенных изменениях и дополнениях и принимает разумные меры для уведомления третьих лиц, которым персональные данные работника были переданы.

 

4.15.3. Работники обязаны как можно в более короткий срок уведомить должностных лиц Общества, осуществляющих обработку персональных данных, об изменении своих персональных данных. На работника возлагаются все неблагоприятные последствия, вызванные несвоевременным уведомлением Общества об изменении персональных данных.

 

4.15.4. Должностные лица Общества, осуществляющие обработку персональных данных, незамедлительно после получения соответствующего уведомления от работника совершают следующие действия:

— вносят соответствующие изменения в документы, содержащие изменившиеся персональные данные (личная карточка, трудовая книжка, книга учета движения трудовых книжек и т.д.). Изменения вносятся на основании приказа Директора Общества, который издается в свободной форме;

— уведомляют третьих лиц (территориальный орган ПФР, коммерческие банки и т.д.) об имевших место изменениях;

— осуществляют иные формальности, связанные с изменением персональных данных работника.

 

4.16. Выявление неправомерной обработки персональных данных. Уничтожение персональных данных.

 

4.16.1. Общество по своей инициативе или по требованию работника осуществляет выявление неправомерной обработки персональных данных и своевременное устранение выявленных нарушений. Под неправомерной обработкой персональных данных понимается обработка незаконно полученных персональных данных, а также обработка персональных данных, не являющихся необходимыми с учетом цели обработки.

 

4.16.2. В случае выявления неправомерной обработки персональных данных при обращении работника Общество обязано осуществить блокирование неправомерно обрабатываемых персональных данных с момента такого обращения на весь период проверки.

 

4.16.3. В случае выявления неправомерной обработки персональных данных Общество в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить работника.

 

4.16.4. Персональные данные работников (соискателей на вакантные должности) подлежат незамедлительному уничтожению после достижения целей их обработки (утраты необходимости в достижении таких целей), а также отзыва работником своего согласия на их обработку (когда такое согласие является необходимым), за исключением случаев, когда действующим законодательством предусмотрены сроки хранения персональных данных. В последнем случае персональные данные (материальные носители, на которых они содержаться) подлежат уничтожению поле истечения сроков хранения. Общество обязано обеспечить уничтожение персональных данных в течение тридцати дней с момента наступления оснований для их уничтожения, предусмотренных в настоящем пункте. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Общество осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

 

5. ОРГАНИЗАЦИЯ УЧЕТА И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

5.1. В целях учета обработки персональных данных Общество вправе вести журналы учета доступа к персональным данным, их выдачи и передачи другим лицам.

 

5.2. Лицо, которое получает личное дело другого работника, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

 

5.3. В целях проведения контроля учета и обработки персональных данных работников Директор Общества вправе издавать приказы о проведении проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также соблюдения норм действующего законодательства при их обработке. 

 

5.4. Все персональные данные работников Общества на бумажных носителях должны хранятся в запирающихся шкафах.

 

5.5. Срок хранения персональных данных определяется в зависимости от срока хранения документации, в которой они содержатся. При определении сроков хранения следует руководствоваться Приказом Министерства культуры РФ от 25.08.2010 г. № 558 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».

 

6. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

 

6.1. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением. 

 

6.2. Доступ к персональным данным работников имеют только специально уполномоченные сотрудники Общества, которые определяются на основании приказа Директора Общества. Данные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения ими конкретных функций, возложенных на этих лиц в соответствии с трудовым договором, должностными инструкциями, внутренними документами Общества.

 

6.3. Лица, имеющие доступ к персональным данным работников Общества, обязаны обеспечить конфиденциальность этих сведений и принять на себя обязательства по их неразглашению. В этих целях Общество оформляет с лицами, которые в силу своих должностных обязанностей получили доступ к персональным данным работников Общества, обязательство о неразглашении персональных данных.

 

6.4. Лицо, ответственное за организацию обработки персональных данных.  

 

6.6.1. Директор Общества на основании приказа назначает лицо, ответственное за организацию обработки персональных данных. Эти лицом может быть работник, в обязанности которого входит ведение кадрового делопроизводства, либо иное лицо. 

 

7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

7.1. Целью защиты персональных данных является исключение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

 

7.2. Общество обязано обеспечить защиту персональных данных работников от неправомерного их использования или утраты за счет своих средств.

 

7.3. Общество не вправе требовать, а работники не вправе отказываться от своих прав на сохранение и защиту тайны персональных данных. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны персональных данных недействителен.

 

7.4. В целях защиты персональных данных Общество применяет следующие меры:

·   устанавливает особый ограниченный режим доступа к персональным данным работника, в том числе путем установления перечня лиц, которым предоставляется доступ к персональным данным работников в силу их функциональных обязанностей;

·    определяет состав лиц, имеющих право доступа к местам хранения персональных данных в документированной форме;

·   использует программно-технический комплекс защиты информации на электронных носителях;

·   регулярно проверяет знание работниками, имеющими отношение к работе с персональными данными, требований нормативно-методических документов по защите таких данных;

·   проводит профилактическую работу с должностными лицами, имеющими доступ к персональным данным работников, по предупреждению разглашения таких сведений;

·   определяет требования, предъявляемые к помещениям и к местам, в которых хранятся персональные данные работников;

·   осуществляет внутренний контроль соблюдения законодательства в области персональных данных, а также принимает иные меры к своевременному выявлению и устранению нарушений установленных требований по защите персональных данных работников;

·   создает необходимые условия, в том числе обеспечивает рациональное размещение рабочих мест, исключающие случайное попадание к третьим лицам документов, содержащих персональные данные работников;

·   обеспечивает восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.   

 

 

7.5. При обработке персональных данных с использованием информационных систем Общество должно руководствоваться Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановления Правительства РФ от 17.11.2007 г. № 781.

7.6. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего ФЗ «О персональных данных».

Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 ст. 18 ФЗ «О персональных данных», до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных                данных;

5) источник получения персональных данных.

Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 ФЗ «О персональных данных».

7.7. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ «О прсональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено ФЗ «О персональных данных» или другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 ФЗ «О персональных данных»;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

7.8. Оператор опубликовывает или иным образом обеспечивает неограниченный доступ к настоящему документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

7.9. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

7.10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

7.11. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

 

 

8. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ

 

8.1. В целях защиты своих персональных данных, хранящихся в Обществе, работникам предоставляется право на:   

8.1.1. полную информацию об их персональных данных и обработке этих данных, в том числе содержащей:

— подтверждение факта обработки персональных данных Обществом;

— правовые основания и цели обработки персональных данных;

— цели и применяемые Обществом способы обработки персональных данных;

— сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;

— обрабатываемые персональные данные, относящиеся к соответствующему работнику, источник их получения;

— сроки обработки персональных данных, в том числе сроки их хранения;

— порядок осуществления работником прав, предусмотренных законодательством о персональных данных;

— информацию об осуществленной или о предполагаемой трансграничной передаче данных;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;

— иные сведения, предусмотренные федеральными законами.

8.1.2. свободный бесплатный доступ к своим персональным данным, включая право на безвозмездное получение копий любой записи, содержащей персональные данные работника, за исключением случаев, когда такие права ограничены федеральными законами. По письменному заявлению работника Общество обязано не позднее трех рабочих дней со дня получения заявления выдать работнику заверенные в установленном порядке копии документов, содержащих персональные данные (ст. 62 Трудового кодекса РФ);

8.1.3. определение своих представителей для защиты своих персональных данных;

8.1.4. доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

8.1.5. требование об исключении, исправлении (уточнении) или блокировании неверных, неполных или устаревших персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе Общества исключить или исправить персональные данные работника он имеет право заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия;

8.1.6. дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;

8.1.7. требование об извещении Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

8.1.8. обжалование в уполномоченный орган по защите прав субъектов персональных данных или в суд любых неправомерных действий или бездействия Общества (его должностных лиц) при обработке и защите его персональных данных;

8.1.9. защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

8.2. На работников возлагаются следующие обязанности:

8.2.1. предоставлять Обществу достоверные сведения о себе;

8.2.2. уведомлять как можно в более короткий срок должностных лиц Общества, осуществляющих обработку персональных данных, об изменении своих персональных данных;

8.2.3. сохранять конфиденциальность персональных данных других работников, ставшие им известными в связи с осуществлением трудовых обязанностей.   

 

9. ОТВЕТСТВЕННОСТЬ ЗА НЕСОБЛЮДЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ

 

9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственности в порядке, установленном федеральными законами.

 

9.2. Разглашение работником Общества персональных данных другого работника, ставшими ему известными в связи с исполнением трудовых обязанностей, является основанием для увольнения такого работника (пп. «в» п. 6 ч. 1 ст. 81 Трудового кодекса РФ). 

 

9.3. Разглашение персональных данных работников лицом, принявшим на себя ответственность за неразглашение персональных данных, является основанием для привлечения такого лица к полной материальной ответственности (п. 7 ч. 1 ст. 243 Трудового кодекса РФ).

 

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

 

10.1. Настоящее Положение является локальным нормативным актом, имеющим обязательную юридическую силу для всех работников Общества.

 

10.2. Настоящее Положение утверждается приказом Директора Общества и вводится в действие с момента, определенного в нем. Изменения и дополнения настоящего Положения производятся в порядке, установленном для его принятия и утверждения.

 

10.3. Все работники и их представители (в случае их наличия) должны быть ознакомлены под роспись с настоящим Положением. При приеме на работу работник должен быть ознакомлен с настоящим Положением до заключения трудового договора. 

 

10.4. Факт ознакомления работниками с настоящим Положением фиксируется в Листе ознакомления с Положением о персональных данных, приведенном в Приложении № 1 к настоящему Положению. Факт ознакомления может также фиксироваться в тексте трудового договора, заключаемого с работником, либо в специальном журнале ознакомления работников с локальными нормативными актами, форма которого подлежит утверждению Директором Общества.

Организация хранения ПДн в университете осуществляется в порядке, исключающем их утрату или их неправомерное использование. Организацию.

Положение об обработке персональных данных НИУ ВШЭ

Расскажем, как составить положение о защите персональных данных работников. Вы сможете скачать готовый шаблон и проработать все разделы, чтобы не вызвать претензий со стороны ГИТ и Роскомнадзора.

Документы, которые вы искали:

Какие бывают виды персональных данных

В процессе трудоустройства, а зачастую — даже раньше, еще на этапе предварительного анкетирования и собеседования, работник предоставляет работодателю определенные сведения, которые носят личный характер. Такая информация относится к категории конфиденциальной и не подлежит разглашению третьим лицам. Более того, далеко не все виды сведений можно запрашивать — к примеру, вопрос о религиозной принадлежности или политических взглядах соискателя будет неуместным на любом собеседовании. Работодателю разрешено интересоваться только теми аспектами личной жизни сотрудника, которые имеют непосредственное отношение к его работе и способны повлиять на качество ее выполнения. 

Вопросы, которые не стоит задавать на собеседовании. Как их перефразировать, чтобы получить достоверную информацию

➤Какие документы нужно истребовать у сотрудника при приеме на работу

Персональными считаются любые данные, относящиеся прямо или косвенно к конкретному субъекту (физическому лицу). Субъект может предоставлять сведения о себе оператору — государственному или муниципальному органу, работодателю (юридическому или физическому лицу). Оператор не имеет права обрабатывать полученную информацию или разглашать ее третьим лицам без согласия субъекта. Защиту данных обеспечивает законодательство РФ: федеральный закон №152-ФЗ, отдельные статьи Трудового, Уголовного и Гражданского кодексов РФ, а также ст.5.39 и 13.11-13.14 Кодекса об административных правонарушениях РФ. Действие этих норм распространяется на организации всех форм собственности.

Каждая компания, которая собирает личные сведения о своем персонале, должна составить и утвердить положение о защите персональных данных работников. Это локальный нормативный акт, который устанавливает порядок работы с персональными данными в рамках конкретного предприятия согласно требованиям ст.87 ТК РФ. В сфере государственной гражданской службы разрабатывается «Положение о персональных данных государственного гражданского служащего и ведении его личного дела», как того требует указ президента РФ №609 от 30.05.2005г.

Положение о защите персональных данных: образец

Скачать образец полностью

Основные виды сведений личного характера

Условно весь объем персональных данных можно разделить на пять видов:

  • общие;
  • общедоступные;
  • обезличенные;
  • специальные;
  • биометрические.

Общей информацией считаются паспортные данные человека (фамилия, имя, отчество, дата рождения, семейное положение), адрес, номер телефона, сведения о полученном образовании. Актуальное законодательство не содержит исчерпывающего перечня общих данных, зато весьма подробно перечисляет разновидности специальных данных, для которых установлены особые правила сбора, обработки и хранения. К ним относятся сведения о:

  • состоянии здоровья;
  • интимной жизни;
  • наличии судимостей;
  • вероисповедании;
  • философских и политических убеждениях;
  • расовой и национальной принадлежности.

Запрашивать специальные данные для обработки можно лишь в строго определенных случаях — в целях медицинского (с непременным соблюдением врачебной тайны) или страхового обслуживания, для осуществления правосудия, в рамках противодействия терроризму, для защиты жизни или здоровья субъекта. Информация о судимости обрабатывается только при наличии федерального закона, устанавливающего необходимость такой обработки. Кроме того, не возбраняется обрабатывать специальные сведения, если сам субъект дал на это письменное согласие или сделал их общедоступными.

Важно

Общедоступной считается информация, размещенная владельцем в публичных источниках — газетах, журналах, адресных и телефонных справочниках, социальных сетях.

Биометрическими называют сведения о физиологических или биологических особенностях конкретного человека: росте, телосложении, отпечатках пальцев, рисунке радужной оболочки глаза, результатах генетических и иных исследований, позволяющих установить его личность. Иногда без них не обойтись. Типичный случай применения «биометрики» описывается в заметке «Может ли работодатель снимать отпечатки пальцев сотрудников для организации пропускного режима»: результаты дактилоскопии позволяют моментально идентифицировать работника, что очень важно при проведении мероприятий с ограниченным допуском.

Обрабатывать и хранить биометрические данные следует в соответствии с постановлением Правительства РФ №512 от 6.07.2008г. После достижения или утраты цели обработки биометрические, специальные и общие персональные данные должны обезличиваться. Установить принадлежность обезличенных сведений (например, обработанных результатов статистических отчетов и опросов) конкретному человеку невозможно.

Важно

Данные, которые по объективным причинам не получается обезличивать, нужно уничтожить.

Составляя положение о защите персональных данных сотрудников, не забудьте прописать правила обработки разных видов информации, в том числе — биометрической, если организация ее собирает и использует в работе.

Порядок обработки персональных данных в Положении

Скачать образец Положения полностью

Какие функции выполняет положение о защите персональных данных

Так или иначе, работодатель получает доступ к определенной информации о частной жизни работника. Заполнение личной карточки (унифицированная форма Т-2), предоставление различных льгот и компенсаций, оформление налогового вычета — вот лишь малый список стандартных процедур, для проведения которых приходится запрашивать у сотрудника сведения о состоянии здоровья, составе семьи. А раз осуществляется обработка, то необходимо и положение о защите персональных данных. 

Скачайте образец

Важно

Получать личные сведения о сотруднике нужно непосредственно от него, а не от третьих лиц.

Даже в пределах одной организации передавать личные сведения можно только в соответствии с локальным нормативным актом, с которым весь персонал должен предварительно ознакомиться под роспись. Необходимость такого ознакомления закреплена п.8 ст.86 ТК РФ. 

Обязательство о неразглашении персональных данных

Положение о персональных данных работников: образец структуры

Само понятие обработки информации охватывает разные виды операций, перечисленные в п.3 ст.3 федерального закона №152-ФЗ. Сначала проводится сбор, запись и систематизация сведений. Далее имеет место их накопление, хранение и использование. Данные можно уточнять, обновлять или изменять, извлекать и передавать (распространять). Если нет необходимости в использовании персонализированной информации, ее обезличивают или уничтожают. Поэтому положение о работе с персональными данными работников поделено на разделы, посвященные разным этапам обработки информации:

  • общие положения;
  • получение и систематизация;
  • хранение;
  • использование;
  • передача;
  • гарантии конфиденциальности.

Разумеется, предложенную структуру можно корректировать по мере необходимости — объединять имеющиеся разделы и добавлять новые, включать дополнительные перечни и приложения. Но даже самое простое типовое положение о персональных данных работника (образец из шести разделов) представляет собой удобную стартовую заготовку, на базе которой можно разработать полноценный документ, адаптированный к условиям работы конкретного предприятия.

Оформление положения о работе с персональными данными: сервис от Системы Кадры

Попробовать сервис сейчас

Положение о персональных данных: порядок обработки и хранения информации

Разрабатывая положение о персональных данных, образец можно использовать как основу. Особое внимание уделите разделам, посвященным порядку сбора, систематизации и хранения информации. Чем подробнее прописан каждый пункт, тем лучше и безопаснее для работодателя. Если при приеме на работу проводится обязательное анкетирование соискателей, максимально точно опишите процедуру и перечислите конкретные виды запрашиваемых сведений.

Хранение любых носителей личной информации — бумажных, электронных и любых других — предполагает ограничение доступа к ним. В этих целях используются отдельные помещения, сейфы, запирающиеся шкафы, специальные папки и запароленные электронные базы данных. Запрашивать конфиденциальные сведения без особого разрешения может лишь ограниченный круг должностных лиц.

Хранение персональных данных сотрудников: фрагмент Положения

Скачать образец полностью

Каждый работник имеет законное право знать, как именно и в каком объеме обрабатываются и используются его персональные данные, а также исправлять или исключать неверные, неполные или обработанные с нарушениями сведения о себе.

Справка

Положение о работе с персональными данными работников: образец оформления раздела о передаче сведений

Работодателю разрешается передавать сведения личного характера третьим сторонам, но только при определенных обстоятельствах — например, в целях предупреждения угрозы жизни и здоровью работника или в случаях, предусмотренных федеральными законами. При этом данные не становятся общедоступными, а конфиденциально передаются уполномоченному лицу.

Во всех остальных случаях действует норма, закрепленная ст.7 закона №152-ФЗ и требующая каждый раз, когда возникает такая потребность, запрашивать у субъекта согласие на передачу его личных данных. При этом данные передаются в ограниченном объеме, необходимом для выполнения конкретной функции и не более того.

Работодатель должен вести учет выдачи любых сведений личного характера, имеющих отношение к работникам предприятия. С этой целью заводится специальный журнал (книга) либо электронный документ. В идеале записи стоит дублировать, сохраняя и на электронных, и на бумажных носителях.

Скачайте образцы

Как утвердить положение о персональных данных работников: образец приказа

Утвердить положение о защите персональных данных работников можно двумя способами:

  • издать отдельный приказ;
  • предусмотреть на бланке основного документа специальное поле для заверительных реквизитов.

Утверждая документ, руководитель организации ставит на нем личную подпись и печать. Если же выбран первый, более трудоемкий способ утверждения, составляется соответствующий распорядительный документ. Он оформляется в общем порядке и, по сути, ничем не отличается от стандартных приказов об утверждении внутренних нормативных актов компании. Если ранее работодателем применялась другая редакция положения, при введении в действие новой редакции как образец используется приказ об утверждении обновленных ПВТР или любого другого локального акта.

Приказ об утверждении положения о персональных данных

Скачать образец документа

Важно! Если в организации есть юридический отдел или штатный юрисконсульт, рекомендуется согласовать с ним положение о защите персональных данных работников прежде, чем документ отправится для окончательного утверждения к руководителю предприятия.

Уведомление об обработке персональных данных

Помимо ряда основных мер по защите личных данных персонала, законом предусмотрена еще одна обязанность оператора — извещение Роскомнадзора о предстоящей обработке персональных данных. Эта норма присутствует в российском законодательстве с 2007 года. Форма уведомления, применяемая в настоящее время, утверждена в 2008 году.

Сразу отметим, что требование об извещении распространяется не на всех работодателей. Согласно ст.22 закона №152-ФЗ, не обязаны составлять уведомление для Роскомнадзора организации, которые:

  • обрабатывают полученные сведения в соответствии с трудовым законодательством;
  • получают информацию в связи с заключением договора и используют ее исключительно в рамках исполнения договоренностей;
  • получают данные, признанные общедоступными или включающие только фамилии, имена и отчества субъектов;
  • запрашивают информацию однократно в целях пропуска субъекта на территорию оператора;
  • относятся к числу религиозных или общественных и обрабатывают информацию в условиях конфиденциальности для достижения законных целей.

Чтобы каждый раз не уведомлять Роскомнадзор об обработке данных, работодатель, использующий сведения о работниках исключительно в рамках трудового законодательства, может закрепить соответствующее условие внутренними документами. Пропишите в положениях и других локальных актах основные направления деятельности компании и цели, с которыми она ведет сбор и обработку личной информации о персонале.

Уведомление об обработке персональных данных

Скачать бланк уведомления

Ответственность за нарушение правил обработки сведений личного характера

За нарушение законодательства о защите персональной информации виновное лицо можно привлечь не только к дисциплинарной, но и к административной, а в некоторых случаях — и уголовной ответственности. Мера ответственности выбирается с учетом вида, тяжести и обстоятельств совершения проступка.

Следует помнить, что серьезным нарушением считается и неправомерный доступ к электронной информации, охраняемой законом, и нарушение неприкосновенности частной жизни. Сюда же относится ненадлежащее хранение персональных данных, а также непреднамеренное, совершенное без злого умысла разглашение конфиденциальных сведений, доступ к которым был получен при выполнении трудовых обязанностей. Пострадавшая сторона может через суд потребовать возмещения материального и морального ущерба, нанесенного неправомерными действиями должностного лица.

Размеры штрафов, выплачиваемых работодателями за несоблюдение правил обработки личных данных персонала, постоянно увеличиваются и в настоящее время исчисляются десятками тысяч рублей. Поэтому если в организации не применяется или вовсе отсутствует положение о защите персональных данных работников, образец документа, составленного с учетом всех требований закона, явно не будет лишним.

Вывод

Каждая компания, которая собирает личные сведения о своем персонале, должна составить и утвердить положение о защите персональных данных работников. Это локальный нормативный акт, который устанавливает порядок работы с персональными данными в рамках конкретного предприятия согласно требованиям ст.87 ТК РФ. Пропишите в положении правила сбора, обработки и хранения персональных данных сотрудников. С документом ознакомьте персонал под подпись.

Действие этих норм распространяется на организации всех форм собственности. Каждая компания, которая собирает личные сведения.