Положение о персональных данных работника организации. Как составить положение о защите персональных данных Положение о защите персональных данных образец

Положение о персональных данных сотрудников - это внутренний локальный акт организации, наличие которого - в фокусе проверок, проводимых Роскомнадзором. Поэтому многие компании озадачены вопросом о том, как разработать положение о защите персональных данных (2020), если такого документа у них ранее не было. В статье расскажем, на что нужно обратить особое внимание при его разработке, чтобы не допустить нарушения законодательства.

Если я нарушаю закон

Работодатели массово стали получать письма из Роскомнадзора с предупреждением о том, что при проверке компании могут получить серьезные штрафы за нарушение норм закона от 27.07.2006 № 152-ФЗ (далее — Закон). По нему работодатель обязан гарантировать защиту такой информации от противоправного доступа и использования третьими лицами. Положение о работе с персональными данными работников помогает решить эти задачи.

С 23 февраля 2020 года вступило в силу Постановление Правительства от 13.02.2019 № 146, которым утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Согласно документу, плановые проверки будут проводиться раз в 2-3 года, а перечень компаний, подлежащих контролю можно будет заранее увидеть на сайте Роскомнадзора. Как и в случае с другими видами контроля, о запланированном визите инспекторы должны будут предупредить. Если плановая проверка, то известить о ней должны за 3 рабочих дня, а если внеплановая — за 24 часа.

За нарушение Закона предусмотрена дисциплинарная, материальная, административная и уголовная ответственность. Контролирующие органы могут привлечь к административной ответственности по ст. 13.11 и 13.14 КоАП , штрафы составляют:

• для должностных лиц: от 500 до 1000 рублей;
• для организации: от 5000 до 10 000 рублей;
• для должностных лиц, в связи с исполнением служебных или профессиональных обязанностей: от 4000 до 5000 рублей.

Наиболее распространенными нарушениями, по данным инспекторов, являются обработка персоданных без согласия их владельца либо с нарушениями, невыполнение требования об уничтожении личной информации, нарушение условий хранения таких сведений.

Что такое персональные данные

Это любая информация, необходимая работодателю при установлении трудовых отношений, которая касается сотрудника. Например, фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Примерами документов, включающих личные данные, могут служить:

• карточка сотрудника, содержащая Ф.И.О. лица, сведения о составе семьи, образовании;
• трудовая книжка со стажем с предшествующих мест работы;
• дипломы, сертификаты об образовании;
• трудовой договор.

Запрещено получать и обрабатывать данные, которые не относятся напрямую к трудовой деятельности. К примеру, сведения о вероисповедании, национальной, политической принадлежности. Данная информация получается исключительно от самих сотрудников. Эти условия должны быть включены в положение об обработке и защите персональных данных. Работодатели обязаны уведомить работника и получить от него письменное согласие на обработку, хранение, использование и распространение его данных.

Храните данные правильно

Личные данные сотрудников содержатся в их личных карточках и личных делах. Законодательство обязывает каждое конкретное предприятие разрабатывать правила использования и хранения данных о своих работниках.

Положение о защите персональных данных может быть как отдельным документом, так и разделом, включенным в действующие Правила внутреннего трудового распорядка.

Чтобы сохранить конфиденциальность информации о людях, работающих в организации, составляется список должностных лиц, имеющих к ней доступ. Приказом назначается ответственный за сбор, хранение и обработку конфиденциальных данных. Работники, руководители, генеральный директор предприятия подписывают Соглашение о неразглашении.

Информация о персональных данных сотрудников на предприятии может храниться как в бумажном, так и в электронном виде. В наше время такая информация чаще всего хранится смешанным способом.

Образец положения о персональных данных работников (2020) и его разработка

На первом этапе разработки нужно определить, какие данные используются в компании, как их получают, хранят, обрабатывают.

Для оформления организационных документов используют общие правила: в заголовке указывают наименование организации, дату и номер документа, в правом верхнем углу располагают гриф утверждения.

В положение включают следующую информацию:

• цели и задачи предприятия при работе с конфиденциальными данными;
• перечни таких данных;
• описание операций с данными, которые часто используются на предприятии;
• способы доступа к данным;
• перечни и обязанности персонала фирмы при использовании информации;
• права сотрудников фирмы на доступ к информации;
• ответственность работников предприятия за разглашение информации.

Положение утверждается приказом руководителя компании. Образец положения об обработке персональных данных работников должен быть доступен всем сотрудникам для ознакомления. Им следует поставить свою подпись в листе или журнале ознакомления, который, как правило, заводит кадровая служба работодателя. Журнал представляет собой перечень работников компании, где каждый ставит подпись после прочтения этого локального акта.

Положение о персональных данных работников – образец 2019 года вы найдете в этой статье. Какой текст положения с учетом всех требований законодательства? Приведем пример.

Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого.

Положение о персональных данных: структура

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает директор. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

С целью обеспечения выполнения требований к порядку обработки персональных данных работников и защите этих сведений работодатель может разработать и утвердить Положение о работе с персональными данными работников. Оно также может именоваться, например, Положением об обработке персональных данных работников, Положением о защите персональных данных или даже Положением о персональных данных работников.

Положение о персональных данных относится к тем локальным актам, которые обязательно должны быть в организации. Работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Отсутствие Положения может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой (см. Постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06 по делу № А40-20745/06-148-194).

Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно.

При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы:

• обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
• работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;
• работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.

Общество с ограниченной ответственностью «Стелла»

(ООО Стелла»)

УТВЕРЖДАЮ

Директор

ООО «Стелла»

А.С. Пушкин

ПОЛОЖЕНИЕ

О работе с персональными данными работников

1.1. Положение о работе с персональными данными работников ООО «Стелла» разработано в соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-правовыми актами, действующими на территории РФ.

1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.

2.1. Персональные данные работника работодатель получает непосредственно от работника.
Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.

2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:
– пол;
– дату рождения;
– семейное положение;
– отношение к воинской обязанности;
– местожительство и домашний телефон;
– образование, специальность;
– предыдущее(ие) место(а) работы;
– иные сведения, с которыми работник считает нужным ознакомить работодателя.

2.3. Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и о его частной жизни.

2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.

2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.

2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.

3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, которая относится к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер организации.

Читайте также Как правильно внести изменения в график отпусков

3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.

3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.

3.4. Изменение паролей заместителем руководителя организации происходит не реже одного раза в два месяца.

3.5. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание. Для обезличивания персональных данных применяется метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.

3.6. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.

3.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.

4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций.

4.2. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера зарплаты. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.

4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

5.1. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

С 1 июля 2017 года вступает в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Федеральный закон № 13-ФЗ), которым детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. В связи с этим мы решили напомнить основные положения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) и гл. 14 ТК РФ, которые регламентируют правила обработки персональных данных работников и гарантии их защиты.

Закон о персональных данных в 2017 г.

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному либо определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона № 152-ФЗ).

Согласно п. «a» ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981) персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных).

В силу п. 3 ст. 3 Федерального закона № 152-ФЗ любые действия или операции с персональными данными считаются их обработкой. К таким действиям относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача персональных данных (их распространение, предоставление, доступ к ним), обезличивание, блокирование, удаление, уничтожение данных. Все эти действия могут совершаться с помощью средств автоматизации или без использования таковых.

Организация работы с персональными данными.

Согласно ч. 1 ст. 57 ТК РФ в трудовом договоре обязательно указываются фамилия, имя, отчество работника, сведения о документах, удостоверяющих его личность, ИНН. Это значит, что каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Такая информация содержится в документах, предъявляемых работником при приеме на работу:

• в паспорте;
• в военном билете (у военнообязанных);
• в свидетельстве о присвоении ИНН;
• в страховом пенсионном свидетельстве;
• в документах об образовании;
• в водительском удостоверении и документах на машину, если это требуется в связи с исполнением трудовой функции;
• в медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это необходимо в связи с исполнением работником трудовой функции.

В статье 86 ТК РФ установлены общие требования, которые должны соблюдать работодатель и его представители при обработке персональных денных в целях обеспечения прав и свобод человека и гражданина:

• обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
• все персональные данные работника следует получать у него самого. Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
• работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством РФ в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами;
• работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, кроме случаев, установленных ТК РФ или иными федеральными законами;
• при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
• защита персональных данных работника от их неправомерного использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
• работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
• работники не должны отказываться от своих прав на сохранение и защиту тайны;
• работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

В соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ каждая организация обязана издать документ, определяющий ее политику в отношении обработки персональных данных, локальный акт по вопросам обработки персональных данных, а также локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Отсутствие в организации локального нормативного акта, устанавливающего порядок обработки персональных данных работников, является нарушением трудового законодательства и влечет административную ответственность по ст. 5.27 КоАП РФ (постановления Московского городского суда от 29.08.2011 № 4а-1743/11, 4а-1742/11, ФАС МО от 27.11.2006 № КА-А40/11424-06 по делу № А40-17389/06-146-165, от 01.11.2006, 08.11.2006 № КА-А40/10787-06 по делу № А40-32068/06-96-156).

Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним. Право доступа к персональным данным работника, в частности, имеют:

• руководитель организации (работодатель – индивидуальный предприниматель);
• непосредственный руководитель работника;
• начальник отдела кадров;
• сотрудники отдела кадров;
• сотрудники бухгалтерии.

Так как доступ к персональным данным может иметь не только руководитель организации, ответственность за разглашение персональных данных предусмотрена и для работников организации. Например, согласно п. «в» ч. 6 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по инициативе работодателя в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе при разглашении персональных данных другого работника.

Закон о персональных данных в 2017 г. К сведению:

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации утверждено Постановлением Правительства РФ от 15.09.2008 № 687 (далее – Положение).

Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы:

• о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации;
• о категориях обрабатываемых персональных данных;
• об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

К сведению:

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Оформление согласия работника на передачу его персональных данных.

В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением предусмотренных законом случаев. Сразу перечислим ситуации, когда не требуется согласие работника на передачу его персональных данных.

Во всех остальных случаях передача персональных данных производится с письменного согласия работника, из которого должно быть ясно, кому будут передаваться его персональные данные и с какой целью.

Кроме того, работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено.

Контроль и надзор за обработкой персональных данных.

Контроль и надзор за обработкой персональных данных работников осуществляются в соответствии с гл. 5 Федерального закона № 152-ФЗ.

К сведению:

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. В настоящее время это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (Постановление Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).

С учетом поправок, внесенных Федеральным законом № 16-ФЗ , с 01.03.2017 деятельность Роскомнадзора в сфере обработки персональных данных отнесена к государственному контролю и надзору. Теперь Роскомнадзор защищает права субъектов персональных данных – физических лиц и будет проводить проверки организаций и предпринимателей (операторов персональных данных), а также контролировать обработку персональных данных иными операторами. Порядок проведения проверок и других контрольных мероприятий определяет Правительство РФ (ч. 1, 1.1 ст. 23 Федерального закона № 152-ФЗ).

Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания его персональных данных и способов их обработки целям обработки таких данных и принимает соответствующее решение.

Работодателю следует ознакомиться с положениями Приказа Минкомсвязи РФ от 14.11.2011 № 312, которым утвержден Административный регламент по исполнению данной службой функций по осуществлению государственного контроля (надзора) за правильностью обработки персональных данных. Предметом контроля являются:

• документы, характер информации в которых предполагает или допускает включение в них персональных данных;
• информационные системы персональных данных;
• деятельность по их обработке.

Привлечение к административной ответственности за персональные данные.

Согласно ст. 90 ТК РФ лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном федеральными законами.

Пунктом 2 ст. 23 Федерального закона № 152-ФЗ установлено, что уполномоченный орган по защите прав субъектов персональных данных имеет право привлекать к административной ответственности лиц, виновных в нарушении положений этого закона. Размер административной ответственности за нарушение закона о персональных данных предусмотрен ст. 13.11 КоАП РФ.

Федеральным законом № 13-ФЗ ст. 13.11 КоАП РФ изложена в новой редакции. В частности, детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Новая редакция этой статьи начнет применяться 1 июля 2017 года.

Ответственность за персональные данные. К сведению:

До начала действия поправок ст. 13.11 КоАП РФ предусмотрено, что нарушение требований гл. 14 ТК РФ, Федерального закона № 152-ФЗ, Федерального закона № 27-ФЗ и других законов, определяющих порядок сбора, хранения, использования или распространения информации о гражданах (их персональных данных), влечет предупреждение или наложение административного штрафа:

• на должностных лиц – в размере от 500 до 1 000 руб.;
• на юридических лиц – в размере от 5 000 до 10 000 руб.

Начиная с 01.07.2017 предусмотрена следующая административная ответственность за нарушения закона о персональных данных.

Уголовная ответственность.

Уголовная ответственность за нарушение неприкосновенности частной жизни установлена в ст. 137 УК РФ.

Частью 2 данной статьи предусмотрено, что незаконные сбор или распространение сведений о частной жизни лица, совершенные лицом с использованием своего служебного положения, наказываются:

• либо штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы (иного дохода осужденного) за период от одного года до двух лет;
• либо лишением права занимать определенные должности или осуществлять определенную деятельность на срок от двух до пяти лет;
• либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до пяти лет или без такового;
• либо арестом на срок до шести месяцев, лишением свободы на срок до четырех лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до пяти лет.

Возмещение морального вреда.

Согласно ст. 24 Федерального закона № 152-ФЗ лица, виновные в нарушении требований этого нормативного правового документа, несут предусмотренную законодательством РФ ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным законом, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

* * *

В заключение перечислим основные обязанности работодателя, которые он должен исполнять при работе с персональными данными:

• разработать и принять локальные нормативные акты, регламентирующие порядок хранения и использования персональных данных работников;
• назначить лицо, ответственное за организацию обработки персональных данных;
• установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
• установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия;
• ознакомить работников под подпись с положением об организации работы с персональными данными;
• брать письменное согласие работников на обработку персональных данных, которое должно быть конкретным и информированным и содержать в себе именно те сведения, на которые работники дают согласие для обработки, а также согласие для передачи своих персональных данных третьим лицам с указанием этих лиц;
• направлять в Роскомнадзор уведомление об обработке персональных данных работников в случаях, предусмотренных законодательством РФ.

За неисполнение названных требований законодательства работодатель может быть привлечен к административной ответственности, а в отдельных случаях – и к уголовной.

Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», опубликованы на сайте http://www.rsoc.ru 24.12.2012.

Федеральный закон от 22.02.2017 № 16-ФЗ «О внесении изменений в главу 5 Федерального закона «О персональных данных» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, действует в редакции от 24.11.2014.

С. Е. Нестеров,

ПОЛОЖЕНИЕ

О ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

I. Общие положения

Персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Персональные данные работника содержатся в основном документе персонального учета работников - личном деле работника.

Личное дело работника состоит из следующих разделов:

1) анкетно-биографические и характеризующие материалы, к которым относятся:

Заявление о приеме на работу (не обязательно),

Листок по учету кадров,

Паспорт (копия),

Военный билет, приписное свидетельство (копия),

Документы об образовании (копия),

Свидетельство о регистрации в налоговом органе (ИНН) (копия),

Пенсионное удостоверение (для пенсионеров) (копия),

Свидетельство о рождении детей (копия),

Свидетельство о заключении брака (копия),

Документ о праве на льготы (копия),

Результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей (для категории работников моложе 18 лет; поступающих на работу с вредными и (или) опасными условиями труда, на тяжелые работы; поступающих на работу, непосредственно связанную с движением транспортных средств; заявление работника о приеме на работу),

Трудовой договор,

Документы, связанные с переводом и перемещением работника (заявления работника и т.п.),

Аттестационные листы,

Заявление работника об увольнении,

Копия приказа об увольнении,

Личная карточка формы N Т-2,

Другие документы, нахождение которых в личном деле будет признано целесообразным;

2) дополнительные материалы, к которым относятся:

Расписка работника об ознакомлении с документами организации, устанавливающими порядок обработки персональных данных работников, а также о его правах и обязанностях в этой области,

Фотографии,

Дополнение к личному делу,

Другие документы, нахождение которых в личном деле будет признано целесообразным.

В личное дело работника включается также опись всех документов, находящихся в деле.

II. Получение персональных данных работника

Получение, хранение, комбинирование, передача или любое другое использование персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Все персональные данные работника получают у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Не допускается получение и обработка персональных данных работника о его политических, религиозных и иных убеждениях и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.

При принятии решений относительно работника на основании его персональных данных не допускается использование данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ возможны получение и обработка данных о частной жизни работника только с его письменного согласия.

III. Формирование и ведение личных дел

Личное дело работника формируется после издания приказа о его приеме на работу.

Первоначально в личное дело группируются документы, содержащие персональные данные работника, в порядке, отражающем процесс приема на работу: кадровая справка; заявление работника о приеме на работу; листок по учету кадров; результат медицинского обследования на предмет годности к осуществлению трудовых обязанностей; расписка работника об ознакомлении с документами организации, устанавливающими порядок обработки персональных данных работников, а также о его правах и обязанностях в этой области; расписка работника об ознакомлении его с локальными нормативными актами организации; дополнение к личному делу; внутренняя опись.

Все документы личного дела подшиваются в обложку.

К каждому личному делу прилагается фотография работника (без головного убора, размер 3 x 4 см). На оборотной стороне фотографии указываются фамилия, имя, отчество работника.

В каждом разделе личного дела ведется внутренняя опись, куда заносятся наименования всех документов, дата их включения в дело, количество листов, а также дата изъятия документа из дела с указанием лица, изъявшего документ, и причины изъятия. В случае временного изъятия документа вместо него вкладывается лист-заменитель. Изъятие документов из личного дела производится исключительно с разрешения специалиста по кадрам. Внутренняя опись подписывается лицом, ее составившим, с указанием даты составления.

Все документы, поступающие в личное дело, располагаются в хронологическом порядке.

Не допускается включать в личное дело документы второстепенного значения, имеющие временные (до 10 лет) сроки хранения, например, справки с места жительства и т.п.

Листы документов, подшитых в личное дело, нумеруются.

Листок по учету кадров является основным документом личного дела, представляющим собой перечень вопросов о биографических данных работника, его образовании, семейном положении, месте прописки или проживания, выполняемой работе с начала трудовой деятельности и т.п. Листок по учету кадров заполняется работником самостоятельно при оформлении на работу.

При заполнении листка по учету кадров работник должен заполнять все его графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержатся в его личных документах. Отрицательные ответы в графах листка по учету кадров записываются без повторения вопроса.

При заполнении графы "Образование" следует применять следующие формулировки: "высшее", "неполное высшее", "среднее специальное", "неполное среднее" - в зависимости от того, какой документ имеется у работника.

В графе "Семейное положение" перечисляются все близкие родственники (муж, жена, дочь, сын), проживающие совместно с работником. Указываются фамилия, имя, отчество и дата рождения каждого члена семьи.

В графе "Выполняемая работа с начала трудовой деятельности" отражаются сведения о работе в строгом соответствии с записями в трудовой книжке.

Все записи производятся в хронологическом порядке.

При заполнении листка по учету кадров используются следующие документы:

Паспорт;

Трудовая книжка;

Военный билет;

Документы об образовании;

Документы о присвоении ученой степени, ученого звания.

Листок по учету кадров подписывается лицом, принимаемым на работу, и специалистом по кадрам после сверки сведений, занесенных в анкету, с соответствующими документами и заверяется печатью отдела кадров.

Копии всех документов заверяются личной подписью специалиста по кадрам после сверки их с подлинниками документов.

Дополнение к личному делу - документ, в котором фиксируются сведения о перемещении работника по работе (дата вступления в должность и дата ухода с нее) с указанием причины перемещения ("Назначен с понижением в аттестационном порядке").

Дополнение к личному делу составляется специалистом по кадрам и не нуждается в заверении подписью либо печатью.

Личная карточка формы N Т-2 составляется специалистом по кадрам по унифицированной форме, содержит в себе сведения о персональных данных работника в полном соответствии с представленными документами. В случае обновления старая личная карточка изымается из раздела личного дела "Анкетно-биографические и характеризующие материалы", приобщается к "Дополнительным материалам" и заменяется новой. Личная карточка подписывается специалистом по кадрам.

В дальнейшем личное дело пополняется документами, возникающими в процессе трудовой деятельности работника, к которым относятся:

Аттестационные листы;

Копии документов об утверждении в должности;

Другие характеризующие и дополняющие материалы, перечисленные в разделе I настоящего Положения.

Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.

Специалист по кадрам получает от принимаемого на работу работника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявленными документами.

IV. Права и обязанности работника в области защиты

его персональных данных

Работник обязуется предоставлять персональные данные, соответствующие действительности.

Работник имеет право:

На полную информацию о своих персональных данных и обработке этих данных;

На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством РФ;

На определение своих представителей для защиты своих персональных данных;

На доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по своему выбору;

На требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

На требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

На обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

V. Учет, хранение и передача персональных данных работника

Личные дела, в которых хранятся персональные данные работников, являются документами "Для внутреннего пользования".

Личное дело регистрируется, о чем вносится запись в журнал учета личных дел. Журнал содержит следующие графы:

Порядковый номер личного дела;

Фамилия, имя, отчество сотрудника;

Дата постановки дела на учет;

Дата снятия дела с учета.

В кадровой службе (отделе) хранятся личные дела работников, работающих в настоящее время. Для этого используются специально оборудованные шкафы или сейфы, которые запираются и опечатываются. Личные дела располагаются в порядке согласно их номерам либо в алфавитном порядке.

После увольнения работника в личное дело вносятся соответствующие документы (заявление о расторжении трудового договора, копия приказа о расторжении трудового договора), составляется окончательная опись, само личное дело оформляется и передается для хранения.

Личные дела работников, уволенных из организации, хранятся в архиве организации в алфавитном порядке.

Не допускается:

Сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством РФ;

Сообщать персональные данные работника в коммерческих целях без его письменного согласия;

Запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Доступ к персональным данным работников разрешается только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

При передаче персональных данных работника третьим лицам необходимо предупреждать их о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Исключение составляет обмен персональными данными работников в порядке, установленном законодательством РФ.

Передача персональных данных работника в пределах одной организации осуществляется в соответствии с локальными нормативными актами данной организации.

Передача персональных данных работника его представителям осуществляется в порядке, установленном в организации. Объем передаваемой информации ограничивается только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Персональные данные работников есть у всех компаний. С 1 июля 2017 года применяются новые штрафы. Они больше прежних. Подскажем, как работать без нарушений.

С 1 июля 2017 года повышается ответственность за нарушения в работе с персональными данными. Изменения затронут всех без исключения работодателей, у которых в распоряжении есть личные сведения сотрудников и других физлиц.

Что относится к персональным данным в 2017 году

Под персональными данными понимается любая информация о физлице (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ). К таким сведениям, относятся фамилия, имя, отчество, пол, возраст, образование, место жительства физического лица и т.д.

А значит, все документы с персональными данными физлиц работодатель должен обрабатывать, хранить и уничтожать в соответствии с требованиями законодательства.

К таким документам относятся:

• трудовая книжка;
• паспорт или иной документ, удостоверяющий личность;
• страховое свидетельство обязательного пенсионного страхования;
• документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
• документы об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
• документы (справки) содержащие сведения о состоянии здоровья работника;
• документы (справки) содержащие сведения о возрасте или семейном положении работника.

июля

2017 года увеличатся штрафы за нарушения правил работы с персональными данными

Как обеспечить защиту персональных данных

Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц. Всего пять шагов.

Шаг 1. Закрепите порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Шаг 2. Назначьте работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.

Шаг 3. Подготовьте шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

• ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;
• наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись работника.

Образец согласия на обработку персональных данных

Шаг 4. Предоставить по запросу физлица информацию, которая касается обработки его персональных данных (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ). Среди таких сведений, например:

• подтверждение факта обработки персональных данных;
• цели обработки персональных данных;
• способы обработки персональных данных;
• наименование и адрес работодателя, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные по закону и т. д.

Как работать с персональными данными на сайте

Опубликуйте или иначе обеспечьте неограниченный доступ к документу, который определяет политику обработки персональных данных. Если хозяйство собирает персональные данные в интернете, этот шаг тоже нужно сделать (п. 2 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ).

Например, на некоторых сайтах пользователь указывает свои ФИО и e-mail при регистрации или отклике на вакансию. Тогда на сайте нужно разместить ссылки на документы:

• «Политика обработки персональных данных»;
• «Положение об обработке персональных данных» и т.п.

Сколько хранить персональные данные

Персональные данные нужно уничтожить через 30 дней с той даты получения согласия на обработку его персональных данных. Другой срок можно установить в договоре или соглашении с физлицом.

Если у хозяйства нет возможности уничтожить персональные данные в срок, сведения нужно заблокировать. После этого уничтожить личные сведения нужно не позднее, чем через шесть месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).

Уничтожает персональные данные комиссия на основании приказа руководителя. Результат нужно оформить в виде акта о прекращении обработки персональных данных. Еще вариант - можно сделать запись об уничтожении в специальном журнале.

Кому грозят новые штрафы за нарушение работы с персональными данными

С 1 июля 2017 года расширится перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных. Кроме того, увеличатся размеры штрафов (Федеральный закон от 7 февраля 2017 г. №13-ФЗ).

Раньше штраф был только один: от 500 руб. до 1000 руб. для директора и от 5000 руб. до 10 000 руб. для юрлица (ст. 13.11 КоАП РФ). Теперь будет шесть видов ответственности. За разные нарушения работодателей в сфере персональных данных проверяющие смогут применять несколько штрафов. Подробнее о видах нарушения и штрафах - в таблице.→00

Штрафы за нарушение правил работы с персональными данными