Наредба за личните данни на служител на организацията. Как се изготвя регламент за защита на личните данни Регламент за защита на личните данни извадка

Регламентът за личните данни на служителите е вътрешен локален акт на организацията, чието присъствие е в центъра на проверките, проведени от Роскомнадзор. Ето защо много компании са озадачени от въпроса как да разработят регламент за защита на личните данни (2020 г.), ако преди това не са имали такъв документ. В статията ще ви кажем на какво трябва да обърнете специално внимание, когато го разработвате, за да предотвратите нарушения на закона.

Ако наруша закона

Работодателите започнаха масово да получават писма от Роскомнадзор с предупреждение, че при проверка на компанията могат да получат сериозни глоби за нарушаване на нормите на закона от 27.07.2006 г. No 152-ФЗ (наричан по-долу Законът). Съгласно него работодателят е длъжен да гарантира защитата на такава информация от неправомерен достъп и използване от трети страни. Наредбата за работа с лични данни на служителите помага за решаването на тези проблеми.

На 23 февруари 2020 г. влезе в сила Постановлението на правителството от 13 февруари 2019 г. No 146, с което се утвърждават Правилата за организация и прилагане на държавен контрол и надзор върху обработката на лични данни. Според документа планираните проверки ще се извършват на всеки 2-3 години, а списъкът на компаниите, подлежащи на контрол, може да се види предварително на уебсайта на Роскомнадзор. Както при другите видове контрол, инспекторите ще трябва да бъдат уведомени за планирано посещение. Ако това е планирана проверка, тогава тя трябва да бъде уведомена за това 3 работни дни предварително, а ако е непланирана проверка, 24 часа предварително.

За нарушение на закона се предвижда дисциплинарна, материална, административна и наказателна отговорност. Контролиращите органи могат да бъдат подведени под административна отговорност по чл. 13.11 и 13.14 от Административния кодекс глобите са:

• за длъжностни лица: от 500 до 1000 рубли;
• за организация: от 5000 до 10 000 рубли;
• за длъжностни лица, във връзка с изпълнението на длъжностно лице или професионални отговорности: от 4000 до 5000 рубли.

Най -честите нарушения, според инспекторите, са обработването на лични данни без съгласието на техния собственик или с нарушения, неспазване на изискването за унищожаване на лична информация, нарушаване на условията за съхранение на такава информация.

Какво представляват личните данни

Това е всяка информация, която работодателят трябва да установи работни отношениякоето се отнася до служителя. Например фамилия, име, бащино име, дата и място на раждане, местожителство и т.н.

Примери за документи, които включват лични данни, включват:

• карта на служител, съдържаща пълно име лица, информация за състава на семейството, образование;
• трудова книжка с опит от предишни работни места;
• дипломи, свидетелства за образование;
• трудов договор.

Забранено е получаването и обработването на данни, които не са пряко свързани с трудова дейност... Например информация за религия, националност, политическа принадлежност. Тази информацияполучени изключително от самите служители. Тези условия следва да бъдат включени в регламента относно обработката и защитата на лични данни. Работодателите са длъжни да уведомяват служителя и да получат писмено съгласие от него за обработката, съхранението, използването и разпространението на неговите данни.

Съхранявайте данните правилно

Личните данни на служителите се съдържат в техните лични карти и лични досиета. Законодателството задължава всяка конкретна компания да разработи правила за използване и съхранение на данни за своите служители.

Наредбата за защита на личните данни може да бъде или отделен документ, или раздел, включен в действащите вътрешни трудови разпоредби.

За да се запази поверителността на информацията за хората, работещи в организацията, се съставя списък на длъжностни лица, които имат достъп до нея. Заповедта назначава лице, отговорно за събирането, съхранението и обработката на поверителни данни. Служители, мениджъри, управителпредприятията подписват споразумение за неразкриване на информация.

Информацията за личните данни на служителите в предприятието може да се съхранява както на хартиен носител, така и на в електронен формат... В днешно време такава информация най -често се съхранява по смесен начин.

Примерен регламент относно личните данни на служителите (2020 г.) и неговото развитие

На първия етап от развитието трябва да определите какви данни се използват в компанията, как се получават, съхраняват, обработват.

За регистрация на организационни документи се използват общи правила: името на организацията, датата и номерът на документа са посочени в заглавието, печатът за одобрение се намира в горния десен ъгъл.

Разпоредбата включва следната информация:

• целите и задачите на предприятието при работа с поверителни данни;
• списъци с такива данни;
• описание на операциите с данни, които често се използват в предприятието;
• начини за достъп до данни;
• списъци и отговорности на персонала на фирмата при използване на информация;
• правата на служителите на фирмата за достъп до информация;
• отговорност на служителите на предприятието за разкриване на информация.

Длъжността се утвърждава със заповед на ръководителя на компанията. Примерен регламент относно обработката на лични данни на служителите трябва да бъде на разположение на всички служители за преглед. Те трябва да се подпишат на опознавателния лист или дневник, който обикновено се създава от отдела по човешки ресурси на работодателя. Списанието е списък на служителите на компанията, където всеки се подписва, след като прочете този местен акт.

Изявлението за личните данни на служителите - извадка от 2019 г. можете да намерите в тази статия. Какъв е текстът на регламента, като се вземат предвид всички изисквания на закона? Нека дадем пример.

Лични данни на служители - всякаква информация, изисквана от администрацията във връзка с трудови отношения и свързана с конкретен служител (член 1, точка 1 от Закона от 27 юли 2006 г. № 152 -ФЗ).

В счетоводството и обслужване на персоналасе съхраняват документи, в които лични данни на служители - извлечения за заплати, лични карти, лични досиета и други. Всички лични данни на служител могат да бъдат получени само от него.

Регулиране на личните данни: структура

За да предотвратите разкриването на лични данни, създайте надеждна система за тяхната защита. Процедурата за получаване, обработка, прехвърляне и съхраняване на такава информация е установена в местния акт на организацията, например в наредбата за работа с лични данни на служители. Длъжността се утвърждава от директора. Запознайте служителите с документа, който трябва да бъде подписан (чл. 8, клауза 8, част 1, чл. 86, 87 от Кодекса на труда, клауза 2, част 1, чл. 18.1 от Закона от 27.07.2006 г. № 152-ФЗ ).

За да се гарантира спазването на изискванията за процедурата за обработка на лични данни на служителите и защитата на тази информация, работодателят може да разработи и одобри Правилника за работа с лични данни на служителите. Може да се нарече например Регламент за обработване на лични данни на служители, Регламент за защита на личните данни или дори Регламент за личните данни на служителите.

Регламентът за личните данни се отнася до онези местни актове, които трябва да бъдат в организацията. Работодателят трябва да определи процедурата за съхранение, обработка и използване на лични данни чрез местен регулаторен акт (Наредба за личните данни). Липсата на Регламент може да бъде квалифицирана от държавната инспекция по труда като нарушение на трудовото законодателство. Този извод се потвърждава и от съдебната практика (вж. Резолюция на Федералната антимонополна служба на Московския окръг от 26 октомври 2006 г. N KA-A40 / 10220-06 по дело № A40-20745 / 06-148-194).

Структурата и съдържанието на Наредбата за защита на личните данни на служителите (извадка е дадена по -долу) се определя от работодателя за себе си.

При разработването на Регламента за личните данни работодателят трябва да вземе предвид по -специално следните принципи:

• обработването на лични данни на служителите се извършва само с цел спазване на законодателството на Руската федерация, за подпомагане на служителите при заетостта, получаване на образование и повишаване, осигуряване на личната безопасност на служителите, контрол на количеството и качеството на извършената работа и гарантира безопасността на имуществото;
• всички лични данни на служителите трябва да бъдат получени от него. Ако някакви лични данни на служител могат да бъдат получени само от трета страна, той трябва да бъде уведомен предварително за това и трябва да се получи писмено съгласие от него;
• работодателят трябва за своя сметка да осигури защитата на личните данни на служителите от тяхното незаконно използване или загуба;
• работодателят трябва да запознае служителите срещу подпис с процедурата за обработка на личните им данни, както и с техните права и задължения в тази област.

Обществото с ограничена отговорност"Стела"

(Stella LLC)

ОДОБРЕН

Директор

Stella LLC

КАТО. Пушкин

ПОЗИЦИЯ

Работа с лични данни на служители

1.1. Наредбата за работа с лични данни на служители на Stella LLC е разработена в съответствие с Кодекс на трудаРФ, Закон от 27 юли 2006 г. № 152-ФЗ и действащи разпоредби на територията на РФ.

1.2. Настоящият регламент определя процедурата за работа (събиране, обработка, използване, съхраняване и т.н.) с личните данни на служителите и гарантира поверителността на информацията за служителя, предоставена от служителя на работодателя.

2.1. Работодателят получава личните данни на служителя директно от служителя.
Работодателят има право да получава лични данни на служителя от трети страни само с писменото съгласие на служителя или в други случаи, изрично предвидени в законодателството.

2.2. Когато кандидатства за работа, служител попълва въпросник, в който посочва следната информация за себе си:
- под;
- дата на раждане;
- семейно положение;
- отношение към военната служба;
- местожителство и домашен телефонен номер;
- образование, специалност;
- предишно (и) място (и) на работа;
- друга информация, с която служителят счита за необходимо да запознае работодателя.

2.3. Работодателят няма право да изисква от служителя да предоставя информация за политически и религиозни убеждения и за личния си живот.

2.4. Служителят предоставя на работодателя надеждна информация за себе си. Работодателят проверява точността на информацията, като проверява данните, предоставени от служителя, с документите на служителя.

2.5. Когато личните данни се променят, служителят уведомява работодателя писмено за тези промени в разумен срок, не по -дълъг от 14 дни.

2.6. При необходимост работодателят ще поиска допълнителна информация от служителя. Служителят представя необходимата информация и при необходимост представя документи, потвърждаващи точността на тази информация.

2.7. Профилът на служителя се съхранява в личното му досие. Личното досие съхранява и цялата информация, свързана с личните данни на служителя. Управлението на личните дела е поверено на счетоводния отдел, отговорен за управлението на личните дела - счетоводителя на организацията.

3.1. Профилът на служителя се съхранява в личното му досие. Личното досие съхранява и цялата информация, свързана с личните данни на служителя. Управлението на личните дела е поверено на счетоводния отдел, отговорен за придобиването на лични досиета - счетоводителя на организацията.

Прочетете също Как правилно да промените графика си за почивка

3.2. Личните файлове и личните карти се съхраняват на хартиен носител в папки, зашити и номерирани по страници. Личните файлове и личните карти се съхраняват в счетоводния отдел в специално обособен шкаф, който предпазва от неоторизиран достъп. В края на работния ден всички лични досиета и лични карти се предават на счетоводството.

3.3. Личните данни на служителите могат да се съхраняват и по електронен път в локална компютърна мрежа. Достъпът до електронни бази данни, съдържащи лични данни на служители, се осигурява от двустепенна паролна система: на ниво локална компютърна мрежа и на ниво бази данни. Паролите се задават от заместник -ръководителя на организацията и се съобщават индивидуално на служители, които имат достъп до лични данни на служителите.

3.4. Промяната на паролите от заместник -ръководителя на организацията става най -малко веднъж на всеки два месеца.

3.5. За да се подобри сигурността на обработването, прехвърлянето и съхраняването на лични данни на служители в информационни системисе извършва тяхната деперсонализация. За обезличаване на личните данни се използва методът за въвеждане на идентификатори, тоест заместване на част от информацията за личните данни с идентификатори със създаване на таблици за съответствие на идентификаторите с първоначалните данни.

3.6. Ръководителят на организацията, неговият заместник, главният счетоводител, както и непосредственият ръководител на служителя имат достъп до личните данни на служителя. Специалисти на счетоводния отдел - към данните, които са необходими за изпълнение на конкретни функции. Достъпът на специалисти от други отдели до лични данни се осъществява въз основа на писменото разрешение на ръководителя на организацията или неговия заместник.

3.7. Копирането и извличането на лични данни на служителя е разрешено изключително за служебни цели с писмено разрешение на ръководителя на организацията, неговия заместник и главния счетоводител.

4.1. Личните данни на служителя се използват за цели, свързани с изпълнението на трудовите функции на служителя.

4.2. Работодателят използва лични данни, по -специално за решаване на въпроси, свързани с повишаването на служителите, последователността на предоставяне на годишен отпуск и определяне размера на заплатата. Въз основа на личните данни на служителя се решава въпросът за допускането му до информация, съставляваща служебна или търговска тайна.

4.3. Когато взема решения, засягащи интересите на служителя, работодателят няма право да разчита на личните данни на служителя, получени единствено в резултат на тяхната автоматизирана обработка или електронно получаване. Работодателят също няма право да взема решения, които засягат интересите на служителя, въз основа на данни, които могат да се тълкуват по два начина. Ако е невъзможно надеждно да се установи някакъв факт въз основа на личните данни на служителя, работодателят кани служителя да представи писмени обяснения.

5.1. Информация, свързана с личните данни на служител, може да бъде предоставена на държавните органи по начина, предвиден от федералния закон.

От 1 юли 2017 г. Федерален закон № 13-ФЗ от 07.02.2017 г. „За изменения на Кодекса Руска федерацияотносно административните нарушения "(по -долу - Федерален закон № 13 -ФЗ), който подробно описва списъка с нарушения в областта на личните данни и увеличава размера на административната отговорност за тях. В тази връзка решихме да припомним основните разпоредби на Федералния закон от 27 юли 2006 г. № 152-ФЗ „За личните данни“ (по-долу-Федерален закон № 152-ФЗ) и гл. 14 от Кодекса на труда на Руската федерация, които регламентират правилата за обработка на лични данни на служителите и гаранции за тяхната защита.

Закон за личните данни през 2017 г.

Лични данни означава всяка информация, свързана пряко или косвено с конкретно или идентифицируемо физическо лице (субект на лични данни) (член 3 от Федералния закон № 152-ФЗ).

Съгласно параграф "а" на чл. 2 от Конвенцията за защита физически лицапри автоматизираната обработка на лични данни (сключена в Страсбург на 28.01.1981 г.), лични данни означава всяка информация за конкретно или идентифицируемо физическо лице (субект на данни).

По силата на параграф 3 от чл. 3 от Федералния закон № 152-ФЗ, всички действия или операции с лични данни се считат за тяхна обработка. Такива действия включват събиране, записване, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане, използване, прехвърляне на лични данни (тяхното разпространение, предоставяне, достъп до тях), обезличаване, блокиране, изтриване, унищожаване на данни. Всички тези действия могат да се извършват с помощта на инструменти за автоматизация или без да се използват.

Организация на работа с лични данни.

Съгласно част 1 на чл. 57 от Кодекса на труда на Руската федерация в трудовия договор трябва да се посочат фамилията, името, бащиното име на служителя, информацията за документите, доказващи неговата самоличност, TIN. Това означава, че всеки работодател, сключвайки трудов договор, получава информация, свързана с лични данни. Такава информация се съдържа в документите, представени от служителя при наемане:

• в паспорт;
• във военна лична карта (за тези, които подлежат на военна служба);
• в удостоверението за присвояване на TIN;
• в осигурителното пенсионно удостоверение;
• в образователни документи;
• v шофьорска книжкаи документи за автомобила, ако това се изисква във връзка с изпълнението на трудовата функция;
• в медицинското свидетелство за преминаване медицински преглед (медицинска книжка), ако е необходимо във връзка с изпълнението на трудовата функция на служителя.

Член 86 от Кодекса на труда на Руската федерация установява общи изисквания, които работодателят и неговите представители трябва да спазват при обработката на лични данни, за да гарантират човешките и граждански права и свободи:

• обработването на личните данни на служителя може да се извършва единствено с цел осигуряване на спазване на законите и други нормативни нормативни актове, подпомагане на служителите при заетост, образование и повишаване, осигуряване на личната безопасност на служителите, наблюдение на количеството и качеството на извършената работа и гарантиране безопасността на имуществото;
• при определяне на обема и съдържанието на обработваните лични данни на служител, работодателят трябва да се ръководи от Конституцията на Руската федерация, Кодекса на труда на Руската федерация и други федерални закони;
• всички лични данни на служителя трябва да бъдат получени от него. Ако личните данни на служителя могат да бъдат получени само от трето лице, служителят трябва да бъде уведомен за това предварително и трябва да получи писмено съгласие от него. Работодателят трябва да информира служителя за целите, предвидените източници и методи за получаване на лични данни, както и естеството на личните данни, които ще бъдат получени, и последиците от отказа на служителя да даде писмено съгласие за получаването им;
• работодателят няма право да получава и обработва информация за служителя, която съгласно законодателството на Руската федерация в областта на личните данни принадлежи към специални категории лични данни, с изключение на случаите, предвидени от Кодекс на труда на Руската федерация и други федерални закони;
• работодателят няма право да получава и обработва личните данни на служителя относно членството му в обществени сдруженияили неговата синдикална дейност, с изключение на случаите, установени от Кодекса на труда на Руската федерация или други федерални закони;
• при вземане на решения, засягащи интересите на служителя, работодателят няма право да разчита на личните данни на служителя, получени единствено в резултат на тяхната автоматизирана обработка или електронно получаване;
• защитата на личните данни на служителя от тяхното незаконно използване или загуба трябва да бъде осигурена от работодателя за негова сметка по начина, предписан от Кодекса на труда на Руската федерация и други федерални закони;
• служителите и техните представители трябва да бъдат запознати с подписите на документите на работодателя, установяващи процедурата за обработка на лични данни на служителите, както и техните права и задължения в тази област;
• служителите не трябва да се отказват от правата си да пазят и защитават тайните;
• работодателите, работниците и техните представители следва да разработят съвместно мерки за защита на личните данни на работниците.

В съответствие с параграф 2 от част 1 на чл. 18.1 от Федералния закон № 152-ФЗ, всяка организация е длъжна да издаде документ, определящ нейната политика по отношение на обработката на лични данни, локален акт за обработване на лични данни, както и местен акт, установяващ процедури, насочени към предотвратяване и откриване на нарушения на законодателството на Руската федерация, премахване на последиците от такива нарушения.

Липсата в организацията на местен нормативен акт, установяващ процедурата за обработка на лични данни на служители, е нарушение на трудовото законодателство и води до административна отговорност по чл. 5.27 от Административния кодекс на Руската федерация (решения на Московския градски съд от 29 август 2011 г. № 4a-1743/11, 4a-1742/11, FAS MO от 27 ноември 2006 г. № KA-A40/11424- 06 по дело No A40-17389 / 06-146- 165, от 01.11.2006 г., 08.11.2006 г. No KA-A40 / 10787-06 по дело No A40-32068 / 06-96-156).

Работодателят е длъжен да осигури такава процедура за съхранение на лични данни, която да ограничи неоторизирания достъп до тях. Право на достъп до личните данни на служителя, по -специално, имат:

• ръководител на организацията (работодател - индивидуален предприемач);
• непосредственият ръководител на служителя;
• началник отдел персонал;
• служители на отдел персонал;
• счетоводен персонал.

Тъй като не само ръководителят на организацията може да има достъп до лични данни, отговорността за разкриване на лични данни е предоставена и на служителите на организацията. Например, съгласно клауза "в" част 6 на чл. 81 от Кодекса на труда на Руската федерация, трудовият договор със служител може да бъде прекратен по инициатива на работодателя в случай на разкриване на защитена от закона тайна (държавна, търговска, служебна и друга), станала известна на служителят във връзка с изпълнението на служебни отговорности, включително при разкриване на лични данни на друг служител.

Закон за личните данни 2017 г. Забележка:

Регламентът за особеностите на обработката на лични данни, извършвани без използването на инструменти за автоматизация, беше одобрен с Постановление на правителството на Руската федерация от 15 септември 2008 г. № 687 (наричано по -долу Регламент).

Съгласно точка 6 от регламента, лицата, които обработват лични данни, без да използват инструменти за автоматизация (включително служители на експлоатационната организация или лица, които извършват такава обработка по споразумение с оператора), трябва да бъдат информирани:

• относно факта на обработването им на лични данни, обработката на които се извършва от оператора без използване на инструменти за автоматизация;
• относно категориите обработвани лични данни;
• относно спецификата и правилата за такава обработка, установени с нормативни актове на федералните изпълнителни органи, изпълнителни органи на съставните образувания на Руската федерация, както и с местни правни актове на организацията (ако има такива).

За ваша информация:

Всички документи, съдържащи лични данни на служители, като лични досиета, картотеки, счетоводни дневници, трябва да се съхраняват в специално оборудвани шкафове или сейфове, които са заключени и запечатани. Трудови книжкислужителите трябва да се държат в сейф, отделен от личните досиета.

Регистрация на съгласието на служителя за предаване на личните му данни.

В съответствие с чл. 88 от Кодекса на труда на Руската федерация, прехвърлянето на лични данни на служител на трето лице без писменото съгласие на посочения служител не е разрешено, освен в случаите, предвидени от закона. Веднага ще изброим ситуациите, когато не е необходимо съгласието на служителя за прехвърляне на личните му данни.

Във всички останали случаи прехвърлянето на лични данни се извършва с писменото съгласие на служителя, от което следва да е ясно на кого ще бъдат прехвърлени неговите лични данни и с каква цел.

Освен това работодателят е длъжен да предупреди лицата, получаващи личните данни, че тази информация може да се използва само за целите, за които е била съобщена, и да изиска от тези лица да потвърдят, че това правило е спазено.

Контрол и надзор върху обработката на лични данни.

Контролът и надзорът върху обработката на лични данни на служителите се осъществява в съответствие с гл. 5 от Федералния закон № 152-ФЗ.

За ваша информация:

Упълномощеният орган за защита правата на субектите на лични данни, на който е възложено да осигурява контрол и надзор върху съответствието на обработката на лични данни, е федерален организпълнителна власт, упражняваща функции за контрол и надзор в областта информационни технологиии комуникация. В момента е федерална службаотносно надзора в областта на комуникациите, информационните технологии и масовите комуникации (Роскомнадзор) (Резолюция на правителството на Руската федерация от 16 март 2009 г. № 228 „За Федералната служба за надзор в областта на комуникациите, информационните технологии и масата Комуникации ").

Като се вземат предвид измененията, въведени с Федералния закон № 16-ФЗ, от 01.03.2017 г. дейностите на Роскомнадзор в областта на обработката на лични данни са отнесени към държавен контрол и надзор. Сега Роскомнадзор защитава правата на субектите на лични данни - физически лица и ще извършва проверки на организации и предприемачи (оператори на лични данни), както и ще контролира обработката на лични данни от други оператори. Процедурата за извършване на проверки и други контролни мерки се определя от правителството на Руската федерация (части 1, 1.1 от член 23 от Федералния закон № 152-ФЗ).

Упълномощеният орган за защита правата на субектите на лични данни разглежда исканията на субекта на лични данни за съответствието на съдържанието на неговите лични данни и начините за тяхната обработка с целите на обработването на такива данни и взема подходящо решение .

Работодателят трябва да се запознае с разпоредбите на Заповедта на Министерството на телекомуникациите и масовите комуникации на Руската федерация от 14 ноември 2011 г. № 312, която одобрява Административни разпоредбиотносно изпълнението от тази служба на функциите за упражняване на държавен контрол (надзор) върху коректността на обработката на лични данни. Субектът на контрол е:

• документи, естеството на информацията, в която се предлага или позволява включването на лични данни;
• информационни системи за лични данни;
• обработващи дейности.

Стигане до административна отговорност за лични данни.

Съгласно чл. 90 от Кодекса на труда на Руската федерация, лица, виновни за нарушаване на разпоредбите на законодателството на Руската федерация в областта на личните данни, при обработка на лични данни на служител, са привлечени към дисциплинарна и материална отговорностпо начина, предписан от Кодекса на труда на Руската федерация и други федерални закони, както и от гражданска, административна и наказателна отговорност по начина, предписан от федералните закони.

Клауза 2 на чл. 23 от Федералния закон № 152-ФЗ се установява, че упълномощеният орган за защита правата на субектите на лични данни има право да привлече към административна отговорност лица, виновни за нарушаване на разпоредбите на този закон. Размерът на административната отговорност за нарушение на закона за личните данни е предвиден в чл. 13.11 от Административния кодекс на Руската федерация.

Федерален закон № 13-ФЗ Чл. 13.11 от Кодекса за административните нарушения на Руската федерация е изложен в нова редакция. По -специално, списъкът на нарушенията в областта на личните данни е подробен и размерът на административната отговорност за тях е увеличен. Ново изданиена тази статия ще започне да се прилага на 1 юли 2017 г.

Отговорност за лични данни. За ваша информация:

Преди започване на измененията на чл. 13.11 от Административния кодекс на Руската федерация предвижда, че нарушаването на изискванията на гл. 14 от Кодекса на труда на Руската федерация, Федерален закон № 152-ФЗ, Федерален закон № 27-ФЗ и други закони, определящи процедурата за събиране, съхраняване, използване или разпространение на информация за гражданите (техните лични данни), включва: предупреждение или налагане на административна глоба:

• за длъжностни лица - в размер от 500 до 1000 рубли;
• На юридически лица- в размер от 5 000 до 10 000 рубли.

От 01.07.2017 г. се предвижда следната административна отговорност за нарушения на закона за личните данни.

Наказателна отговорност.

Наказателната отговорност за нарушаване на личния живот е установена в чл. 137 от Наказателния кодекс на Руската федерация.

Част 2 на този член предвижда, че незаконното събиране или разпространение на информация за личния живот на дадено лице, извършено от лице, използващо служебното му положение, се наказва:

• или глоба в размер от 100 000 до 300 000 рубли. или по размер заплати(други доходи на осъденото лице) за период от една до две години;
• или лишаване от правото да заема определени длъжности или да извършва определени дейности за период от две до пет години;
• или принудителен труд за срок до четири години, със или без лишаване от правото да заема определени длъжности или да извършва определени дейности до пет години;
• или арест за срок до шест месеца, лишаване от свобода за срок до четири години, с лишаване от правото да заема определени длъжности или да извършва определени дейности до пет години.

Обезщетение за морални щети.

Съгласно чл. 24 от Федералния закон № 152-ФЗ, лица, виновни за нарушаване на изискванията на този регламент легален документ, носят отговорност, предвидена от законодателството на Руската федерация.

Морални вреди, причинени на субекта на лични данни в резултат на нарушаване на неговите права, нарушаване на правилата за обработка на лични данни, установени с този закон, както и изискванията за защита на личните данни, подлежат на обезщетение в съответствие с законодателството на Руската федерация. Обезщетението за морални щети се извършва независимо от обезщетението за имуществени щети и загуби, понесени от субекта на лични данни.

* * *

В заключение ще изброим основните отговорности на работодателя, които той трябва да изпълнява при работа с лични данни:

• разработване и приемане на местни разпоредби, уреждащи процедурата за съхранение и използване на лични данни на служители;
• назначава лице, отговорно за организирането на обработката на лични данни;
• съставя списък на лицата, които обработват лични данни или имат достъп до тях;
• съставя списък на местата за съхранение на документация, която е носител на лични данни на служителите, както и списък на необходимите мерки за гарантиране на безопасността на личните данни, процедурата за тяхното приемане;
• запознайте служителите с подпис с наредбата за организацията на работа с лични данни;
• да вземат писменото съгласие на служителите за обработката на лични данни, което трябва да бъде конкретно и информирано и да съдържа точно информацията, на която служителите дават съгласието си за обработка, както и съгласие за предаване на личните им данни на трети страни, като посочва тези лица;
• изпращане на известие до Роскомнадзор за обработката на лични данни на служители в случаи, предвидени от законодателството на Руската федерация.

За неспазване на посочените изисквания на законодателството работодателят може да бъде привлечен към административна отговорност, а в отделни случаи- и към престъпната.

Обяснения на Роскомнадзор „Въпроси относно обработката на лични данни на служители, кандидати за замяна свободни работни места, както и лица в кадрови резерв", Публикувано на уебсайта http://www.rsoc.ru на 24.12.2012г.

Федерален закон от 22.02.2017 г. № 16-ФЗ "За изменения на глава 5 от Федералния закон" За личните данни "и член 1 от Федералния закон" За защита на правата на юридическите лица и индивидуални предприемачипри осъществяване на държавен контрол (надзор) и общински контрол ”.

Административните разпоредби за изпълнение от Федералната служба за надзор в сферата на комуникациите, информационните технологии и масовите комуникации на държавната функция за упражняване на държавен контрол (надзор) върху съответствието на обработката на лични данни с изискванията на законодателството на Руската федерация в областта на личните данни, е валидна, изменена на 24 ноември 2014 г.

С. Е. Нестеров,

ПОЗИЦИЯ

ЗА ЛИЧНИТЕ ДАННИ НА РАБОТНИКА

I. Общи разпоредби

Личните данни на служител са информация, изисквана от работодателя във връзка с трудово правоотношение и свързана с конкретен служител.

Личните данни на служителя се съдържат в основния документ на личната сметка на служителите - личното досие на служителя.

Личното досие на служителя се състои от следните раздели:

1) биографични и характеризиращи материали, които включват:

Заявление за работа (по избор),

Документ за персонала,

Паспорт (копие),

Военна карта, удостоверение за регистрация (копие),

Документи за образование (копие),

Удостоверение за регистрация в данъчен орган(TIN) (копие),

Пенсионно удостоверение (за пенсионери) (копие),

Акт за раждане на деца (копие),

Удостоверение за брак (копие),

Документ за правото на обезщетения (копие),

Резултатите от медицински преглед за годност за работа (за категорията работници под 18 години; постъпване на работа с вредни и (или) опасни условиятруд, за упорит труд; кандидатстване за работа, пряко свързана с движението на превозни средства; заявление за наемане на работа от служители),

Трудов договор,

Документи, свързани с преместване и преместване на служител (изявления на служители и др.),

Атестационни листове,

Писмо за напускане на служител,

Копие от заповедта за уволнение,

Формуляр за лична карта N T-2,

Други документи, чието откриване в личното досие ще се счита за подходящо;

2) допълнителни материали, които включват:

Разписка на служител за запознаване с документите на организацията, които установяват процедурата за обработка на лични данни на служители, както и неговите права и задължения в тази област,

Снимка,

Допълнение към лично досие,

Други документи, чието намиране в личното досие ще се счита за подходящо.

Личното досие на служителя включва и опис на всички документи в преписката.

II. Получаване на лични данни на служител

Получаването, съхранението, комбинирането, прехвърлянето или каквато и да е друга употреба на лични данни на служител може да се извършва единствено с цел гарантиране на спазването на законите и други нормативни нормативни актове, подпомагане на служителите при заетост, обучение и повишаване, осигуряване на личната безопасност на служителите , наблюдение на количеството и качеството на извършената работа и гарантиране безопасността на имуществото.

Всички лични данни на служителя се получават от него. Ако личните данни на служителя могат да бъдат получени само от трета страна, тогава служителят трябва да бъде уведомен за това предварително и да получи писмено съгласие от него. Работодателят трябва да информира служителя за целите, предвидените източници и методи за получаване на лични данни, както и за естеството на личните данни, които ще бъдат получени, и последиците от отказа на служителя да даде писмено съгласие за получаването им.

Не се разрешава получаването и обработването на лични данни на служител за неговите политически, религиозни и други убеждения и личен живот, както и за членството му в обществени сдружения или за неговата синдикална дейност, с изключение на случаите, предвидени от законодателството на Руската федерация.

При вземане на решения относно служител въз основа на неговите лични данни не се допуска използването на данни, получени изключително в резултат на тяхната автоматизирана обработка или електронно получаване.

В случаите, пряко свързани с въпроси на трудовите правоотношения, в съответствие с чл. 24 от Конституцията на Руската федерация е възможно да се получават и обработват данни за личния живот на служител само с негово писмено съгласие.

III. Формиране и управление на лични досиета

Личното досие на служителя се формира след издаване на заповед за наемането му на работа.

Първоначално документите, съдържащи лични данни на служител, се групират в лично досие, в ред, който отразява процеса на наемане: информация за персонала; заявление на служител за наемане на работа; листов запис на персонала; резултат от медицински преглед за годност за работа; разписка от служителя за запознаване с документите на организацията, които установяват процедурата за обработка на лични данни на служители, както и за неговите права и задължения в тази област; разписка на служител за запознаване с местните регламентиорганизации; допълнение към личното досие; вътрешен инвентар.

Всички документи от лични досиета се съхраняват в корицата.

Всяко лично досие е придружено със снимка на служителя (без шапки за глава, размер 3 х 4 см). Фамилията, името, бащиното име на служителя са посочени на гърба на снимката.

Във всеки раздел на личното дело се води вътрешен опис, където се въвеждат имената на всички документи, датата, на която са включени в делото, броят на листите, както и датата, на която документът е изваден от преписката, посочвайки лицето, което е иззело документа и причините за изземването. В случай на временно изземване на документа, вместо него се поставя заместващ лист. Оттеглянето на документи от лично досие се извършва изключително с разрешение на специалист по персонала. Вътрешният опис се подписва от лицето, което го е съставило, като посочва датата на съставяне.

Всички документи, представени в личното досие, са подредени в хронологичен ред.

Не се допуска включването в лични дела на документи от второстепенно значение, които имат временни (до 10 години) периоди на съхранение, например удостоверения от мястото на пребиваване и др.

Листовете с документи, приложени към лично досие, са номерирани.

Документът за персонала е основният документ от личното досие, което представлява списък с въпроси относно биографичните данни на служителя, неговото образование, семейно положение, местожителство или местожителство, работа, извършена от началото на трудовата дейност и др. Документът за персонала се попълва от служителя независимо, когато кандидатства за работа.

При попълване на табелата за кадровия запис служителят трябва да попълни всичките му колони, да даде пълни отговори на всички въпроси, да не допуска корекции или зачертаване, чертички, петна, в строго съответствие с записите, съдържащи се в личните му документи. Отрицателните отговори в колоните на личната карта се записват без повтаряне на въпроса.

При попълване на графа „Образование“ следва да се използва следната формулировка: „висше“, „непълно висше“, „специализирано средно образование“, „непълно средно образование“ - в зависимост от това с какъв документ служителят разполага.

В колоната „Семейно положение“ са изброени всички близки роднини (съпруг, съпруга, дъщеря, син), живеещи със служителя. Посочени са фамилия, име, бащино име и дата на раждане на всеки член на семейството.

Графата „Работа, извършена от началото на трудовата дейност“ отразява информация за работата в строго съответствие със записите в трудовата книжка.

Всички записи са направени в хронологичен ред.

При попълване на табелата за персонала се използват следните документи:

Паспорт;

История на заетостта;

Военна карта;

Документи за образование;

Документи за присвояване академична степен, академична титла.

Документът за персонала се подписва от наетото лице и от специалиста по персонала след проверка на информацията, въведена във въпросника със съответните документи и заверена с печата на отдела по персонала.

Копията на всички документи се заверяват с личния подпис на специалист по човешки ресурси, след като ги заверят с оригиналните документи.

Допълнение към лично досие е документ, който записва информация за движението на служителя по време на работа (датата на влизане в длъжност и датата на напускане) с посочване на причината за преместването („Назначен с намаляване на атестацията поръчка").

Допълнение към лично досие се изготвя от специалист по човешки ресурси и не е необходимо да бъде заверено с подпис или печат.

Лична карта от формуляр N T-2 се съставя от специалист по персонала в единна форма, съдържа информация за личните данни на служителя в пълно съответствие с представените документи. В случай на подновяване, старата лична карта се изважда от раздела на личното досие „Биографични и характеризиращи материали“, прилага се към „Допълнителни материали“ и се заменя с нова. Личната карта се подписва от HR специалиста.

В бъдеще личното досие се попълва с документи, възникнали в процеса на трудова дейност на служителя, които включват:

Атестационни листове;

Копия от документи, потвърждаващи позицията;

Други характеризиращи и допълващи материали, изброени в раздел I от настоящия регламент.

Личното досие се поддържа през цялата трудова дейност на служителя. Промените, направени в лично досие, трябва да бъдат потвърдени от съответните документи.

Специалистът по човешки ресурси получава документи от наетия служител, проверява пълнотата на тяхното попълване и верността на посочената информация в съответствие с представените документи.

IV. Правата и задълженията на служителя в областта на защитата

неговите лични данни

Служителят се задължава да предоставя лични данни, които съответстват на реалността.

Служителят има право:

За пълна информация относно вашите лични данни и обработката на тези данни;

За безплатен и безплатен достъп до вашите лични данни, включително правото да получавате копия от всеки запис, съдържащ личните данни на служителя, с изключение на случаите, предвидени от законодателството на Руската федерация;

Да определят своите представители за защита на личните им данни;

Достъп до свързани с него медицински данни с помощта на медицински специалистпо ваш избор;

Към искане за изключване или коригиране на неправилни или непълни лични данни, както и данни, обработени в нарушение на изискванията. Ако работодателят откаже да изключи или коригира личните данни на служителя, той има право да декларира писмено пред работодателя своето несъгласие с подходящата обосновка за такова несъгласие. Служителят има право да допълни лични данни с оценъчен характер с изявление, изразяващо собствената му гледна точка;

Към изискването работодателят да уведоми всички лица, на които преди това са били предоставени неправилни или непълни лични данни на служителя, за всички изключения, корекции или допълнения, направени към тях;

Да обжалва пред съда всички незаконни действия или бездействие на работодателя при обработката и защитата на личните му данни.

V. Отчитане, съхраняване и прехвърляне на лични данни на служителя

Личните файлове, в които се съхраняват личните данни на служителите, са документи „За вътрешно ползване“.

Регистрира се лично досие, за което се прави вписване в регистъра на личните дела. Списанието съдържа следните колони:

Серийният номер на личното досие;

Фамилия, име, бащино име на служителя;

Дата на регистрация на делото;

Дата на отписване на делото.

Службата за персонал (отдел) съхранява личните досиета на работещите в момента служители. За това се използват специално оборудвани шкафове или сейфове, които се заключват и запечатват. Личните файлове са подредени според техните номера или по азбучен ред.

След уволнение на служителя съответните документи се вписват в личното досие (заявление за прекратяване трудов договор, копие от заповедта за прекратяване на трудовия договор), съставя се окончателен опис, съставя се самото лично дело и се предава за съхранение.

Личните досиета на уволнени служители се съхраняват в архива на организацията по азбучен ред.

Не е позволено:

Предоставяйте лични данни на служителя на трета страна без писменото съгласие на служителя, освен когато е необходимо да се предотврати заплаха за живота и здравето на служителя, както и в случаите, установени от законодателството на Руската федерация;

Предоставете лични данни на служителя на търговски целибез негово писмено съгласие;

Поискайте информация за здравния статус на служителя, с изключение на информацията, която се отнася до въпроса за способността на служителя да изпълнява трудовата функция.

Достъпът до личните данни на служителите е разрешен само на специално упълномощени лица, докато тези лица следва да имат право да получават само тези лични данни на служителя, които са необходими за изпълнението на конкретни функции.

Когато прехвърляте лични данни на служител на трети страни, е необходимо да ги предупредите, че тези данни могат да се използват само за целите, за които са съобщени, и да изисквате от тези лица да потвърдят, че това правило е спазено. Лицата, получаващи лични данни на служител, са длъжни да спазват режима за поверителност (поверителност). Изключение е обменът на лични данни на служителите по начина, предписан от законодателството на Руската федерация.

Прехвърлянето на лични данни на служител в рамките на една организация се извършва в съответствие с местните разпоредби на тази организация.

Предаването на личните данни на служителя на негови представители се извършва по предписания от организацията начин. Количеството предавана информация е ограничено само от тези лични данни на служителя, които са необходими за изпълнението на тези представители на техните функции.

Всички компании имат лични данни на служители. От 1 юли 2017 г. ще се прилагат нови глоби. Те са по -големи от старите. Ще ви покажем как да работите без нарушения.

От 1 юли 2017 г. се увеличава отговорността за нарушения в работата с лични данни. Промените ще засегнат всички без изключение работодатели, които имат на разположение лична информация за служители и други лица.

Какво се отнася до личните данни през 2017 г.

Лични данни означават всякаква информация за физическо лице (член 3, точка 1 от Федералния закон от 27 юли 2006 г. № 152-ФЗ). Тази информация включва фамилия, име, бащино име, пол, възраст, образование, местожителство на физическо лице и др.

Това означава, че работодателят трябва да обработва, съхранява и унищожава всички документи с лични данни на физически лица в съответствие с изискванията на закона.

Тези документи включват:

• История на заетостта;
• паспорт или друг документ за самоличност;
• осигурително удостоверение за задължително пенсионно осигуряване;
• документите военна регистрация- за подлежащите на военна служба и лица, подлежащи на повикване;
• документи за образование и (или) за квалификация или наличие на специални знания - при кандидатстване за работа, изискваща специални знания или специално обучение;
• документи (удостоверения), съдържащи информация за здравословното състояние на служителя;
• документи (удостоверения), съдържащи информация за възрастта или семейното положение на служителя.

Юли

През 2017 г. глобите за нарушения на правилата за работа с лични данни ще се увеличат

Как да гарантираме защитата на личните данни

Помислете какво трябва да се направи във фермата във връзка със защитата на личните данни на служители и други лица. Само пет стъпки.

Стъпка 1. Поправете процедурата за получаване, обработка, прехвърляне и съхраняване на лични данни в локалния акт на организацията. Например в наредбата за обработване на лични данни на служители (членове 8, 87 от Кодекса на труда на Руската федерация, клауза 2 от част 1 на член 18.1 от Федералния закон от 27 юли 2006 г. № 152-ФЗ ).

Стъпка 2. Назначете служител, отговорен за работата с лични данни (част 5 от член 88 от Кодекса на труда на Руската федерация). Това може да бъде служител по човешки ресурси, който взаимодейства с личните досиета на служителите. Той ще получи съгласието на служителите за обработка на лични данни, съхраняване на карти на служители и т.н.

Стъпка 3. Подгответе шаблон за съгласие за обработване на лични данни. Без него не можете да поискате лична информация на физически лица. Това съгласие трябва да включва следната информация (част 4 от член 9 от Закона от 27 юли 2006 г. № 152-ФЗ):

• Пълно име, адрес на служителя, данни за паспорта (друг документ, доказващ неговата самоличност), включително информация за датата и мястото на издаване на документа;
• име или пълно име и адрес на работодателя, който получава съгласието на служителя;
• целта на обработването на лични данни;
• списък на личните данни, за обработката на които е дадено съгласие;
• име или пълно име и адрес на лицето, обработващо лични данни от името на работодателя, ако обработката ще бъде поверена на такова лице;
• списък на действията с лични данни, за извършването на които е дадено съгласие, общо описание на методите за обработка на лични данни, използвани от работодателя;
• периодът, през който съгласието на служителя е валидно, както и начинът за оттеглянето му, освен ако федералното законодателство не предвижда друго;
• подпис на служителя.

Примерно съгласие за обработване на лични данни

Стъпка 4. Предоставете по искане на физическо лице информация, свързана с обработването на неговите лични данни (част 7 от член 14 от Закона от 27 юли 2006 г. № 152-ФЗ). Сред такава информация например:

• потвърждение на факта на обработка на лични данни;
• целите за обработка на лични данни;
• методи за обработка на лични данни;
• име и адрес на работодателя, информация за лица (с изключение на служителите на оператора), които имат достъп до лични данни или на които личните данни могат да бъдат разкрити съгласно закона и др.

Как да работите с лични данни на сайта

Публикувайте или предоставяйте по друг начин неограничен достъп до документа, който определя политиката за обработка на лични данни. Ако фермата събира лични данни в Интернет, тази стъпка също трябва да бъде предприета (клауза 2 на член 18.1 от Закона от 27 юли 2006 г. № 152-ФЗ).

Например, на някои сайтове потребителят посочва пълното си име и имейл, когато се регистрира или кандидатства за свободно място. След това на сайта трябва да поставите връзки към документи:

• "Политика за обработка на лични данни";
• „Регламент за обработване на лични данни“ и др.

Колко да съхранявате лични данни

Личните данни трябва да бъдат унищожени 30 дни от датата на получаване на съгласието за обработването на личните му данни. Друг срок може да бъде определен в договор или споразумение с физическо лице.

Ако фермата няма възможност за унищожаване на лични данни навреме, информацията трябва да бъде блокирана. След това личната информация трябва да бъде унищожена не по-късно от шест месеца по-късно (част 6 от член 21 от Закон № 152-ФЗ).

Комисията унищожава лични данни въз основа на заповедта на ръководителя. Резултатът трябва да бъде формализиран под формата на акт за прекратяване на обработката на лични данни. Друг вариант е да направите запис на унищожението в специален дневник.

Който е изправен пред нови глоби за нарушаване на работата с лични данни

От 1 юли 2017 г. списъкът на основанията за привличане на работодател към административна отговорност в областта на защитата на личните данни ще се разширява. Освен това размерът на глобите ще се увеличи (Федерален закон № 13-ФЗ от 7 февруари 2017 г.).

Преди това имаше само една глоба: от 500 рубли. до 1000 рубли за директора и от 5000 рубли. до 10 000 рубли. за юридическо лице (член 13.11 от Кодекса за административните нарушения на Руската федерация). Сега ще има шест вида отговорност. За различни нарушения на работодателите в областта на личните данни инспекторите ще могат да наложат няколко глоби. Прочетете повече за видовете нарушения и глоби в таблицата. → 00

Глоби за нарушаване на правилата за работа с лични данни