Положення про персональні дані працівника організації. Як скласти положення про захист персональних даних Положення про захист персональних даних зразок

Положення про персональні дані співробітників - це внутрішній локальний акт організації, наявність якого - у фокусі перевірок, проведених Роскомнадзором. Тому багато компаній розмірковують над питанням про те, як розробити положення про захист персональних даних (2020), якщо такого документа у них раніше не було. У статті розповімо, на що потрібно звернути особливу увагу при його розробці, щоб не допустити порушення законодавства.

Якщо я порушую закон

Роботодавці масово стали отримувати листи з Роскомнадзора з попередженням про те, що при перевірці компанії можуть отримати серйозні штрафи за порушення норм закону від 27.07.2006 № 152-ФЗ (далі - Закон). По ньому роботодавець зобов'язаний гарантувати захист такої інформації від протиправного доступу і використання третіми особами. Положення про роботу з персональними даними працівників допомагає вирішити ці завдання.

З 23 лютого 2020 року набула чинності Постанова Уряду від 13.02.2019 № 146, яким затверджено Правила організації і здійснення державного контролю та нагляду за обробкою персональних даних. Згідно з документом, планові перевірки будуть проводитися раз на 2-3 роки, а перелік компаній, що підлягають контролю можна буде заздалегідь побачити на сайті Роскомнадзора. Як і у випадку з іншими видами контролю, про запланований візит інспектори повинні будуть попередити. Якщо планова перевірка, то сповістити про неї повинні за 3 робочі дні, а якщо позапланова - за 24 години.

За порушення Закону передбачена дисциплінарна, матеріальна, адміністративна та кримінальна відповідальність. Контролюючі органи можуть притягнути до адміністративної відповідальності за ст. 13.11 і 13.14 КоАП, штрафи становлять:

• для посадових осіб: Від 500 до 1000 рублів;
• для організації: від 5000 до 10 000 рублів;
• для посадових осіб, в зв'язку з виконанням службових або професійних обов'язків: Від 4000 до 5000 рублів.

Найбільш поширеними порушеннями, за даними інспекторів, є обробка персоданних без згоди їх власника або з порушеннями, невиконання вимоги про знищення особистої інформації, порушення умов зберігання таких відомостей.

Що таке персональні дані

Це будь-яка інформація, необхідна роботодавцю при встановленні трудових відносин, Яка стосується співробітника. Наприклад, прізвище, ім'я, по батькові, дата і місце народження, місце проживання і т. Д.

Прикладами документів, що включають особисті дані, можуть служити:

• картка співробітника, що містить П.І.Б. особи, відомості про склад сім'ї, освіті;
• трудова книжка зі стажем з попередніх місць роботи;
• дипломи, сертифікати про освіту;
• трудовий договір.

Заборонено отримувати і обробляти дані, що не мають прямого відношення до трудової діяльності. Наприклад, відомості про віросповідання, національної, політичної приналежності. Дана інформаціявиходить виключно від самих співробітників. Ці умови повинні бути включені в положення про обробку і захист персональних даних. Роботодавці зобов'язані повідомити працівника і отримати від нього письмову згоду на обробку, зберігання, використання і поширення його даних.

Зберігайте дані правильно

Особисті дані співробітників містяться в їх особових картках і особистих справах. Законодавство зобов'язує кожне конкретне підприємство розробляти правила використання та зберігання даних про своїх працівників.

Положення про захист персональних даних може бути як окремим документом, так і розділом, включеним до чинних Правила внутрішнього трудового розпорядку.

Щоб зберегти конфіденційність інформації про людей, що працюють в організації, складається список посадових осіб, які мають до неї доступ. Наказом призначається відповідальний за збір, зберігання і обробку конфіденційних даних. Працівники, керівники, генеральний директорпідприємства підписують Угоду про нерозголошення.

Інформація про персональні дані співробітників на підприємстві може зберігатися як в паперовому, так і в електронному вигляді. У наш час така інформація найчастіше зберігається змішаним способом.

Зразок положення про персональні дані працівників (2020) і його розробка

На першому етапі розробки потрібно визначити, які дані використовуються в компанії, як їх отримують, зберігають, обробляють.

Для оформлення організаційних документів використовують загальні правила: в заголовку вказують найменування організації, дату і номер документа, у правому верхньому кутку розташовують гриф затвердження.

У положення містять таку інформацію:

• мети і завдання підприємства при роботі з конфіденційними даними;
• переліки таких даних;
• опис операцій з даними, які часто використовуються на підприємстві;
• користувач може отримати доступ до даних;
• переліки та обов'язки персоналу фірми при використанні інформації;
• права співробітників фірми на доступ до інформації;
• відповідальність працівників підприємства за розголошення інформації.

Положення затверджується наказом керівника компанії. Зразок положення про обробку персональних даних працівників повинен бути доступний всім співробітникам для ознайомлення. Їм слід поставити свій підпис в листі або журналі ознайомлення, який, як правило, заводить кадрова служба роботодавця. Журнал представляє собою перелік працівників компанії, де кожен ставить підпис після прочитання цього локального акта.

Положення про персональні дані працівників - зразок 2019 роки ви знайдете в цій статті. Який текст положення з урахуванням всіх вимог законодавства? Наведемо приклад.

Персональні дані співробітників - будь-яка інформація, необхідна адміністрації в зв'язку з трудовими відносинами і що стосується конкретного співробітника (п. 1 ст. 3 Закону від 27 липня 2006 № 152-ФЗ).

У бухгалтерії і кадровій службізберігаються документи, в яких персональні дані співробітників, - відомості по зарплаті, особисті картки, особисті справи і інші. Всі персональні дані співробітника можна отримати тільки від нього самого.

Положення про персональні дані: структура

Щоб не допустити розголошення персональних даних, створіть надійну систему їх захисту. Порядок отримання, обробки, передачі та зберігання таких відомостей встановіть в локальному акті організації, наприклад в положенні про роботу з персональними даними співробітників. Положення стверджує директор. Ознайомте співробітників з документом під підпис (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закону від 27.07.2006 № 152-ФЗ).

З метою забезпечення виконання вимог до порядку обробки персональних даних працівників і захисту цих відомостей роботодавець може розробити і затвердити Положення про роботу з персональними даними працівників. Воно також може називатися, наприклад, Положенням про обробку персональних даних працівників, Положенням про захист персональних даних або навіть Положенням про персональні дані працівників.

Положення про персональні дані відноситься до тих локальних актів, які обов'язково повинні бути в організації. Роботодавець повинен локальним нормативним актом (Положенням про персональні дані) визначити порядок зберігання, обробки та використання персональних даних. Відсутність Положення може бути кваліфіковано державною інспекцією праці як порушення трудового законодавства. Такий висновок також підтверджується судовою практикою (див. Постанова ФАС Московського округу від 26.10.2006 N КА-А40 / 10220-06 у справі № А40-20745 / 06-148-194).

Структуру і зміст Положення про захист персональних даних працівників (зразок наведемо нижче) роботодавець визначає для себе самостійно.

При розробці Положення про персональні дані роботодавець повинен враховувати, зокрема, такі принципи:

• обробка персональних даних працівників проводиться тільки з метою дотримання законодавства РФ, сприяння працівникам у працевлаштуванні, здобутті освіти і просуванні по службі, забезпечення особистої безпеки працівників, контролю кількості та якості виконуваної роботи і забезпечення збереження майна;
• всі персональні дані працівників потрібно отримувати у нього самого. Якщо будь-які персональні дані працівника можна отримати тільки в третьої сторони, працівник заздалегідь повинен бути повідомлений про це, а від нього повинно бути отримано письмову згоду;
• роботодавець повинен за свій рахунок забезпечувати захист персональних даних працівників від неправомірного їх використання або втрати;
• роботодавець повинен під розпис ознайомити працівників з порядком обробки їх персональних даних, а також з їх правами та обов'язками в цій області.

Товариство з обмеженою відповідальністю«Стелла»

(ТОВ Стелла »)

ЗАТВЕРДЖУЮ

директор

ТОВ «Стелла»

А.С. Пушкін

ПОЛОЖЕННЯ

Про роботу з персональними даними працівників

1.1. Положення про роботу з персональними даними працівників ТОВ «Стелла» розроблено відповідно до трудовим кодексомРФ, Законом від 27 липня 2006 № 152-ФЗ і нормативно-правовими актами, що діють на території РФ.

1.2. Це Положення визначає порядок роботи (збору, обробки, використання, зберігання і т. Д.) З персональними даними працівників і гарантії конфіденційності відомостей про працівника, наданих працівником роботодавцеві.

2.1. Персональні дані працівника роботодавець отримує безпосередньо від працівника.
Роботодавець має право отримувати персональні дані працівника від третіх осіб лише за наявності письмової згоди працівника або в інших випадках, прямо передбачених в законодавстві.

2.2. При надходженні на роботу працівник заповнює анкету, в якій вказує такі відомості про себе:
- підлога;
- дату народження;
- сімейний стан;
- ставлення до військового обов'язку;
- місце проживання і домашній телефон;
- освіту, спеціальність;
- попереднє (і) місце (а) роботи;
- інші відомості, з якими працівник вважає за потрібне ознайомити роботодавця.

2.3. Роботодавець не має права вимагати від працівника подання інформації про політичні та релігійні переконання і про його приватного життя.

2.4. Працівник подає працедавцю достовірні відомості про себе. Роботодавець перевіряє достовірність відомостей, звіряючи дані, представлені працівником, з наявними у працівника документами.

2.5. При зміні персональних даних працівник письмово повідомляє роботодавця про такі зміни в розумний строк, що не перевищує 14 днів.

2.6. У міру необхідності роботодавець витребує у працівника додаткові відомості. Працівник представляє потрібних деталей та в разі необхідності пред'являє документи, що підтверджують достовірність цих відомостей.

2.7. Анкета працівника зберігається в його особовій справі. В особовій справі також зберігається вся інформація, що відноситься до персональних даних працівника. Ведення особистих справ покладено на відділ бухгалтерії, відповідальний за ведення особистих справ - бухгалтер організації.

3.1. Анкета працівника зберігається в його особовій справі. В особовій справі також зберігається вся інформація, яка відноситься до персональних даних працівника. Ведення особистих справ покладено на відділ бухгалтерії, відповідальний за комплектування особових справ - бухгалтер організації.

Читайте також Як правильно внести зміни в графік відпусток

3.2. Особові справи та особисті картки зберігаються в паперовому вигляді в папках, прошиті і пронумеровані по сторінках. Особові справи та особисті картки знаходяться у відділі бухгалтерії в спеціально відведеному шафі, що забезпечує захист від несанкціонованого доступу. В кінці робочого дня всі особисті справи і особові картки здаються в відділ бухгалтерії.

3.3. Персональні дані працівників можуть також зберігатися в електронному вигляді в локальній комп'ютерній мережі. Доступ до електронних баз даних, що містять персональні дані працівників, забезпечується двоступеневою системою паролів: на рівні локальної комп'ютерної мережі та на рівні баз даних. Паролі встановлюються заступником керівника організації і повідомляються індивідуально працівникам, які мають доступ до персональних даних працівників.

3.4. Зміна паролів заступником керівника організації відбувається не рідше одного разу на два місяці.

3.5. З метою підвищення безпеки по обробці, передачі і зберігання персональних даних працівників в інформаційних системахпроводиться їх знеособлення. Для знеособлення персональних даних застосовується метод введення ідентифікаторів, тобто заміна частини відомостей персональних даних ідентифікаторами зі створенням таблиць відповідності ідентифікаторів вихідними даними.

3.6. Доступ до персональних даних працівника мають керівник організації, його заступник, головний бухгалтер, а також безпосередній керівник працівника. Фахівці відділу бухгалтерії - до тих даних, які необхідні для виконання конкретних функцій. Доступ фахівців інших відділів до персональних даних здійснюється на підставі письмового дозволу керівника організації або його заступника.

3.7. Копіювати і робити виписки з персональних даних працівника дозволяється виключно в службових цілях з письмового дозволу керівника організації, його заступника та головного бухгалтера.

4.1. Персональні дані працівника використовуються для цілей, пов'язаних з виконанням працівником трудових функцій.

4.2. Роботодавець використовує персональні дані, зокрема, для вирішення питань просування працівника по службі, черговості надання щорічної відпустки, встановлення розміру зарплати. На підставі персональних даних працівника вирішується питання про допуск його до інформації, що становить службову або комерційну таємницю.

4.3. При прийнятті рішень, які зачіпають інтереси працівника, роботодавець не має права грунтуватися на персональних даних працівника, отриманих виключно в результаті їх автоматизованої обробки або електронного вступу. Роботодавець також не має права приймати рішення, що зачіпають інтереси працівника, ґрунтуючись на даних, що допускають двояке тлумачення. У разі якщо на підставі персональних даних працівника неможливо достовірно встановити будь-якої факт, роботодавець пропонує працівникові подати письмові роз'яснення.

5.1. Інформація, що відноситься до персональних даних працівника, може бути надана державним органам в порядку, встановленому федеральним законом.

З 1 липня 2017 року набирає чинності Федеральний закон від 07.02.2017 № 13-ФЗ «Про внесення змін до Кодексу Російської Федераціїпро адміністративні правопорушення »(далі - Федеральний закон № 13-ФЗ), яким деталізований перелік порушень в області персональних даних та збільшено розмір адміністративної відповідальності за них. У зв'язку з цим ми вирішили нагадати основні положення Федерального закону від 27.07.2006 № 152-ФЗ «Про персональних даних» (далі - Федеральний закон № 152-ФЗ) і гл. 14 ТК РФ, які регламентують правила обробки персональних даних працівників і гарантії їх захисту.

Закон про персональні дані в 2017 р

Під персональними даними розуміється будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі (суб'єкту персональних даних) (ст. 3 Федерального закону № 152-ФЗ).

Згідно п. «A» ст. 2 Конвенції про захист фізичних осібпри автоматизованій обробці персональних даних (укладена в Страсбурзі 28.01.1981) персональні дані означають будь-яку інформацію про певний або піддається визначенню фізичну особу (суб'єкта даних).

В силу п. 3 ст. 3 Федерального закону № 152-ФЗ будь-які дії або операції з персональними даними вважаються їх обробкою. До таких дій відносяться збір, запис, систематизація, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання, передача персональних даних (їх поширення, надання, доступ до них), знеособлення, блокування, видалення, знищення даних. Всі ці дії можуть відбуватися за допомогою засобів автоматизації або без використання таких.

Організація роботи з персональними даними.

Згідно ч. 1 ст. 57 ТК РФ в трудовому договорі обов'язково вказуються прізвище, ім'я, по батькові працівника, відомості про документи, що засвідчують його особу, ІПН. Це означає, що кожен роботодавець, укладаючи трудовий договір, отримує інформацію, що відноситься до персональних даних. Така інформація міститься в документах, що пред'являються працівником при прийомі на роботу:

• в паспорті;
• у військовому квитку (у військовозобов'язаних);
• в свідоцтві про присвоєння ІПН;
• в страховому пенсійному свідоцтві;
• в документах про освіту;
• в водійському посвідченніі документах на машину, якщо це потрібно у зв'язку з виконанням трудової функції;
• в медичній довідці про проходження медичного огляду (медичній книжці), Якщо це необхідно у зв'язку з виконанням працівником трудової функції.

У статті 86 ТК РФ встановлено загальні вимоги, які повинні дотримуватися роботодавець і його представники при обробці персональних денних з метою забезпечення прав і свобод людини і громадянина:

• обробка персональних даних працівника може здійснюватися виключно в цілях забезпечення дотримання законів та інших нормативних правових актів, сприяння працівникам у працевлаштуванні, здобутті освіти і просуванні по службі, забезпечення особистої безпеки працівників, контролю кількості та якості виконуваної роботи і забезпечення збереження майна;
• при визначенні обсягу і змісту оброблюваних персональних даних працівника роботодавець повинен керуватися Конституцією РФ, ТК РФ і іншими федеральними законами;
• всі персональні дані працівника слід отримувати у нього самого. Якщо персональні дані працівника можна отримати тільки в третьої сторони, працівник повинен бути повідомлений про це заздалегідь і від нього має бути отримана письмова згода. Роботодавець повинен повідомити працівника про цілі, передбачуваних джерелах і способи отримання персональних даних, а також про характер підлягають отриманню персональних даних і наслідки відмови працівника дати письмову згоду на їх отримання;
• роботодавець не має права отримувати та обробляти інформацію про працівника, що відносяться відповідно до законодавства РФ в області персональних даних до спеціальних категорій персональних даних, за винятком випадків, передбачених ТК РФ і іншими федеральними законами;
• роботодавець не має права отримувати та обробляти персональні дані працівника про його членство в громадські об'єднанняабо його профспілкової діяльності, крім випадків, встановлених ТК РФ або іншими федеральними законами;
• при прийнятті рішень, які зачіпають інтереси працівника, роботодавець не має права грунтуватися на персональних даних працівника, отриманих виключно в результаті їх автоматизованої обробки або електронного отримання;
• захист персональних даних працівника від їх неправомірного використання або втрати повинна бути забезпечена роботодавцем за рахунок його коштів в порядку, встановленому ТК РФ і іншими федеральними законами;
• працівники та їх представники повинні бути ознайомлені під підпис з документами роботодавця, що встановлюють порядок обробки персональних даних працівників, а також про їхні права та обов'язки в цій області;
• працівники не повинні відмовлятися від своїх прав на збереження і захист таємниці;
• роботодавці, працівники та їх представники повинні спільно виробляти заходи захисту персональних даних працівників.

Відповідно до п. 2 ч. 1 ст. 18.1 Федерального закону № 152-ФЗ кожна організація зобов'язана видати документ, що визначає її політику щодо обробки персональних даних, локальний акт з питань обробки персональних даних, а також локальний акт, який регулює процедури, спрямовані на запобігання та виявлення порушень законодавства РФ, усунення наслідків таких порушень.

Відсутність в організації локального нормативного акта, який встановлює порядок обробки персональних даних працівників, є порушенням трудового законодавства і тягне за собою адміністративну відповідальність за ст. 5.27 КоАП РФ (постанови Московського міського суду від 29.08.2011 № 4а-тисяча сімсот сорок три / 11, 4а-1742/11, ФАС МО від 27.11.2006 № КА-А40 / 11424-06 у справі № А40-17389 / 06-146- 165, від 01.11.2006, 08.11.2006 № КА-А40 / 10787-06 у справі № А40-32068 / 06-96-156).

Роботодавець зобов'язаний забезпечити такий порядок зберігання персональних даних, який би обмежував несанкціонований доступ до них. Право доступу до персональних даних працівника, зокрема, мають:

• керівник організації (роботодавець - індивідуальний підприємець);
• безпосередній керівник працівника;
• начальник відділу кадрів;
• співробітники відділу кадрів;
• працівники бухгалтерії.

Так як доступ до персональних даних може мати не тільки керівник організації, відповідальність за розголошення персональних даних передбачена і для працівників організації. Наприклад, згідно з п. «В» ч. 6 ст. 81 ТК РФ трудовий договір з працівником може бути розірваний за ініціативою роботодавця в разі розголошення охоронюваної законом таємниці (державної, комерційної, службової та іншої), що стала відомою працівникові у зв'язку з виконанням ним трудових обов'язків, В тому числі при розголошенні персональних даних іншого працівника.

Закон про персональні дані в 2017 р До відома:

Положення про особливості обробки персональних даних, що здійснюється без використання засобів автоматизації затверджено Постановою Уряду РФ від 15.09.2008 № 687 (далі - Положення).

Згідно п. 6 Положення особи, які здійснюють обробку персональних даних без використання засобів автоматизації (в тому числі співробітники організації-оператора або особи, які здійснюють таку обробку за договором з оператором), повинні бути проінформовані:

• про факт обробки ними персональних даних, обробка яких здійснюється оператором без використання засобів автоматизації;
• про категорії оброблюваних персональних даних;
• про особливості і правила здійснення такої обробки, встановлених нормативними правовими актами федеральних органів виконавчої влади, органів виконавчої влади суб'єктів РФ, а також локальними правовими актами організації (при їх наявності).

До відома:

Всі документи, що містять персональні дані працівників, такі як особисті справи, картотеки, облікові журнали, слід зберігати в спеціально обладнаних шафах або сейфах, які замикаються і опечатуються. трудові книжкипрацівників потрібно зберігати в сейфі окремо від особистих справ.

Оформлення згоди працівника на передачу його персональних даних.

Відповідно до ст. 88 ТК РФ передача персональних даних працівника третій стороні без письмової згоди зазначеного працівника не дозволяється, за винятком передбачених законом випадків. Відразу перерахуємо ситуації, коли не потрібна згода працівника на передачу його персональних даних.

У всіх інших випадках передача персональних даних проводиться за письмовою згодою працівника, з якого має бути ясно, кому будуть передаватися його персональні дані і з якою метою.

Крім того, роботодавець зобов'язаний попередити осіб, які отримують персональні дані, про те, що дані відомості можуть бути використані лише в цілях, для яких вони повідомлені, і вимагати від цих осіб підтвердження того, що дане правило дотримано.

Контроль і нагляд за обробкою персональних даних.

Контроль і нагляд за обробкою персональних даних працівників здійснюються відповідно до гл. 5 Федерального закону № 152-ФЗ.

До відома:

Уповноваженим органом із захисту прав суб'єктів персональних даних, на який покладається забезпечення контролю і нагляду за відповідністю обробки персональних даних, є федеральний органвиконавчої влади, який здійснює функції з контролю і нагляду в сфері інформаційних технологійі зв'язку. В даний час це Федеральна службаз нагляду в сфері зв'язку, інформаційних технологій і масових комунікацій (Роскомнадзор) (Постанова Уряду РФ від 16.03.2009 № 228 «Про Федеральну службу з нагляду у сфері зв'язку, інформаційних технологій і масових комунікацій»).

З урахуванням поправок, внесених Законом № 16-ФЗ, з 01.03.2017 діяльність Роскомнадзора в сфері обробки персональних даних віднесена до державного контролю і нагляду. Тепер Роскомнадзор захищає права суб'єктів персональних даних - фізичних осіб і буде проводити перевірки організацій та підприємців (операторів персональних даних), а також контролювати обробку персональних даних іншими операторами. Порядок проведення перевірок та інших контрольних заходів визначає Уряд РФ (ч. 1, 1.1 ст. 23 Федерального закону № 152-ФЗ).

Уповноважений орган із захисту прав суб'єктів персональних даних розглядає звернення суб'єкта персональних даних про відповідність змісту його персональних даних та способів їх обробки цілям обробки таких даних і приймає відповідне рішення.

Роботодавцю слід ознайомитися з положеннями Наказу Мінкомзв'язку РФ від 14.11.2011 № 312, якою затверджено адміністративний регламентпо виконанню даної службою функцій щодо здійснення державного контролю (нагляду) за правильністю обробки персональних даних. Предметом контролю є:

• документи, характер інформації в яких передбачає або допускає включення в них персональних даних;
• інформаційні системи персональних даних;
• діяльність по їх обробці.

Залучення до адміністративної відповідальності за персональні дані.

Згідно ст. 90 ТК РФ особи, винні в порушенні положень законодавства РФ в області персональних даних при обробці персональних даних працівника, притягуються до дисциплінарної і матеріальної відповідальностів порядку, встановленому ТК РФ і іншими федеральними законами, а також до цивільно-правової, адміністративної та кримінальної відповідальності в порядку, передбаченому федеральними законами.

Пунктом 2 ст. 23 Федерального закону № 152-ФЗ встановлено, що уповноважений орган із захисту прав суб'єктів персональних даних має право притягати до адміністративної відповідальності осіб, винних у порушенні положень цього закону. Розмір адміністративної відповідальності за порушення закону про персональні дані передбачений ст. 13.11 КоАП РФ.

Федеральним законом № 13-ФЗ ст. 13.11 КоАП РФ викладена в новій редакції. Зокрема, деталізовано перелік порушень в області персональних даних та збільшено розмір адміністративної відповідальності за них. Нова редакціяцієї статті почне застосовуватися 1 липня 2017 року.

Відповідальність за персональні дані. До відома:

До початку дії поправок ст. 13.11 КоАП РФ передбачено, що порушення вимог гл. 14 ТК РФ, Федерального закону № 152-ФЗ, Федерального закону № 27-ФЗ і інших законів, що визначають порядок збору, зберігання, використання або поширення інформації про громадян (їх персональних даних), тягне за собою попередження або накладення адміністративного штрафу:

• на посадових осіб - у розмірі від 500 до 1 000 руб .;
• на юридичних осіб- в розмірі від 5 000 до 10 000 руб.

Починаючи з 01.07.2017 передбачена така адміністративна відповідальність за порушення закону про персональні дані.

Кримінальна відповідальність.

Кримінальна відповідальність за порушення недоторканності приватного життя встановлена ​​в ст. 137 КК РФ.

Частиною 2 цієї статті передбачено, що незаконні збір або розповсюдження відомостей про приватне життя особи, вчинені особою з використанням свого службового становища, караються:

• або штрафом у розмірі від 100 000 до 300 000 руб. або в розмірі заробітної плати(Іншого доходу засудженого) за період від одного року до двох років;
• або позбавленням права обіймати певні посади або здійснювати певну діяльність на строк від двох до п'яти років;
• або примусовими роботами на строк до чотирьох років з позбавленням права обіймати певні посади або здійснювати певну діяльність на строк до п'яти років або без такого;
• або арештом на строк до шести місяців, позбавленням волі на строк до чотирьох років з позбавленням права обіймати певні посади або здійснювати певну діяльність на строк до п'яти років.

Відшкодування моральної шкоди.

Згідно ст. 24 Федерального закону № 152-ФЗ особи, винні в порушенні вимог цього нормативного правового документа, Несуть передбачену законодавством РФ відповідальність.

Моральна шкода, завдана суб'єкту персональних даних внаслідок порушення його прав, порушення правил обробки персональних даних, встановлених цим законом, а також вимог до захисту персональних даних, підлягає відшкодуванню відповідно до законодавства РФ. Відшкодування моральної шкоди здійснюється незалежно від відшкодування майнової шкоди та понесених суб'єктом персональних даних збитків.

* * *

На закінчення перелічимо основні обов'язки роботодавця, які він повинен виконувати при роботі з персональними даними:

• розробити і прийняти локальні нормативні акти, які регламентують порядок зберігання і використання персональних даних працівників;
• призначити особу, відповідальну за організацію обробки персональних даних;
• встановити перелік осіб, які здійснюють обробку персональних даних або мають до них доступ;
• встановити перелік місць зберігання документації, що є носієм персональних даних працівників, а також перелік заходів, необхідних для забезпечення схоронності персональних даних, порядок їх прийняття;
• ознайомити працівників під підпис з положенням про організацію роботи з персональними даними;
• брати письмову згоду працівників на обробку персональних даних, яке повинно бути конкретним і поінформованим і містити в собі саме ті відомості, на які працівники дають згоду для обробки, а також згоду для передачі своїх персональних даних третім особам із зазначенням цих осіб;
• направляти в Роскомнадзор повідомлення про обробку персональних даних працівників у випадках, передбачених законодавством РФ.

За невиконання названих вимог законодавства роботодавець може бути притягнутий до адміністративної відповідальності, а в окремих випадках- і до кримінальної.

Роз'яснення Роскомнадзора «Питання, що стосуються обробки персональних даних працівників, здобувачів на заміщення вакантних посад, А також осіб, які перебувають в кадровому резерві», Опубліковані на сайті http://www.rsoc.ru 24.12.2012.

Федеральний закон від 22.02.2017 № 16-ФЗ «Про внесення змін до глави 5 Федерального закону« Про персональні дані »та статті 1 Закону України« Про захист прав юридичних осіб і індивідуальних підприємцівпри здійсненні державного контролю (нагляду) і муніципального контролю ».

Адміністративний регламент виконання Федеральною службою з нагляду в сфері зв'язку, інформаційних технологій і масових комунікацій державної функції щодо здійснення державного контролю (нагляду) за відповідністю обробки персональних даних вимогам законодавства РФ в області персональних даних, діє в редакції від 24.11.2014.

С. Є. Нестеров,

ПОЛОЖЕННЯ

Про персональних даних ПРАЦІВНИКА

I. Загальні положення

Персональні дані працівника - це інформація, необхідна роботодавцю у зв'язку з трудовими відносинами і що стосується конкретного працівника.

Персональні дані працівника містяться в основному документі персонального обліку працівників - особовій справі працівника.

Особиста справа працівника складається з наступних розділів:

1) анкетному-біографічні і характеризують матеріали, до яких відносяться:

Заява про прийом на роботу (не обов'язково),

Листок з обліку кадрів,

Паспорт (копія),

Військовий квиток, приписне свідоцтво (копія),

Документи про освіту (копія),

Свідоцтво про реєстрацію в податковому органі(ІПН) (копія),

Пенсійне посвідчення (для пенсіонерів) (копія),

Свідоцтво про народження дітей (копія),

Свідоцтво про укладення шлюбу (копія),

Документ про право на пільги (копія),

Результати медичного обстеження на предмет придатності до здійснення трудових обов'язків (для категорії працівників молодше 18 років; надходять на роботу з шкідливими і (або) небезпечними умовамипраці, на важкі роботи; надходять на роботу, безпосередньо пов'язану з рухом транспортних засобів; заява працівника про прийом на роботу),

Трудовий договір,

Документи, пов'язані з перекладом і переміщенням працівника (заяви працівника і т.п.),

Атестаційні листи,

Заява працівника про звільнення,

Копія наказу про звільнення,

Особиста картка форми N Т-2,

Інші документи, перебування яких в особовій справі буде визнано доцільним;

2) додаткові матеріали, до яких відносяться:

Розписка працівника про ознайомлення з документами організації, що встановлюють порядок обробки персональних даних працівників, а також про його права та обов'язки в цій області,

фотографії,

Доповнення до особової справи,

Інші документи, перебування яких в особовій справі буде визнано доцільним.

До особової справи працівника включається також опис усіх документів, що знаходяться в справі.

II. Отримання персональних даних працівника

Отримання, зберігання, комбінування, передача або будь-яке інше використання персональних даних працівника може здійснюватися виключно в цілях забезпечення дотримання законів та інших нормативних правових актів, сприяння працівникам у працевлаштуванні, навчанні і просуванні по службі, забезпечення особистої безпеки працівників, контролю кількості та якості виконуваної роботи і забезпечення збереження майна.

Всі персональні дані працівника отримують у нього самого. Якщо персональні дані працівника можливо отримати тільки в третьої сторони, то працівник повинен бути повідомлений про це заздалегідь і від нього має бути отримана письмова згода. Роботодавець повинен повідомити працівника про цілі, передбачуваних джерелах і способи отримання персональних даних, а також про характер підлягають отриманню персональних даних і наслідки відмови працівника дати письмову згоду на їх отримання.

Не допускається отримання і обробка персональних даних працівника про його політичних, релігійних та інших переконаннях і приватного життя, а також про його членство в громадських об'єднаннях або його профспілкової діяльності, за винятком випадків, передбачених законодавством РФ.

При прийнятті рішень щодо працівника на підставі його персональних даних не допускається використання даних, отриманих виключно в результаті їх автоматизованої обробки або електронного отримання.

У випадках, безпосередньо пов'язаних з питаннями трудових відносин, відповідно до ст. 24 Конституції РФ можливі отримання і обробка даних про приватного життя працівника лише за його письмовою згодою.

III. Формування та ведення особових справ

Особиста справа працівника формується після видання наказу про його прийомі на роботу.

Спочатку до особової справи групуються документи, що містять персональні дані працівника, в порядку, що відбиває процес прийому на роботу: кадрова довідка; заява працівника про прийом на роботу; листок з обліку кадрів; результат медичного обстеження на предмет придатності до здійснення трудових обов'язків; розписка працівника про ознайомлення з документами організації, що встановлюють порядок обробки персональних даних працівників, а також про його права та обов'язки в цій області; розписка працівника про ознайомлення його з локальними нормативними актамиорганізації; доповнення до особової справи; внутрішній опис.

Всі документи особової справи підшиваються в обкладинку.

До кожного особової справи додається фотографія працівника (без головного убору, розмір 3 x 4 см). На зворотному боці фотографії вказуються прізвище, ім'я, по батькові працівника.

У кожному розділі особової справи ведеться внутрішній опис, куди заносяться найменування всіх документів, дата їх включення в справу, кількість аркушів, а також дата вилучення документа зі справи із зазначенням особи, вилучив документ, і причини вилучення. У разі тимчасового вилучення документа замість нього вкладається лист-замінник. Вилучення документів з особової справи проводиться виключно з дозволу спеціаліста з кадрів. Внутрішній опис підписується особою, її склала, із зазначенням дати складання.

Всі документи, що надходять до особової справи, розташовуються в хронологічному порядку.

Не допускається включати до особової справи документи другорядного значення, які мають тимчасові (до 10 років) терміни зберігання, наприклад, довідки з місця проживання і т.п.

Листи документів, підшитих до особової справи, нумеруються.

Листок з обліку кадрів є основним документом особистої справи, які представляють собою перелік питань про біографічні дані працівника, його освіту, сімейний стан, місце прописки або проживання, виконуваної роботи з початку трудової діяльності і т.п. Листок з обліку кадрів заповнюється працівником самостійно при оформленні на роботу.

При заповненні листка по обліку кадрів працівник повинен заповнювати всі його графи, на всі питання давати повні відповіді, не допускати виправлень або закреслення, прокреслень, помарок, в суворій відповідності з записами, які містяться в його особистих документах. Негативні відповіді в графах листка по обліку кадрів записуються без повторення питання.

При заповненні графи "Освіта" слід застосовувати такі формулювання: "вища", "неповна вища", "середню спеціальну", "неповну середню" - в залежності від того, який документ є у працівника.

У графі "Сімейний стан" перераховуються всі близькі родичі (чоловік, дружина, дочка, син), які проживають разом з працівником. Вказуються прізвище, ім'я, по батькові та дата народження кожного члена сім'ї.

У графі "Виконувана робота з початку трудової діяльності" відображаються відомості про роботу в суворій відповідності із записами у трудовій книжці.

Всі записи виробляються в хронологічному порядку.

При заповненні листка по обліку кадрів використовуються наступні документи:

паспорт;

Трудова книжка;

Військовий квиток;

Документи про освіту;

Документи про присвоєння наукового ступеня, Вченого звання.

Листок з обліку кадрів підписується особою, що приймається на роботу, і фахівцем з кадрів після звірки відомостей, занесених в анкету, з відповідними документами і завіряється печаткою відділу кадрів.

Копії всіх документів завіряються особистим підписом фахівця з кадрів після звірки їх з оригіналами документів.

Доповнення до особової справи - документ, в якому фіксуються відомості про переміщення працівника по роботі (дата вступу на посаду і дата відходу з неї) із зазначенням причини переміщення ( "Призначено зі зниженням в атестаційному порядку").

Доповнення до особової справи складається фахівцем по кадрам і не потребує завіренні підписом або печаткою.

Особиста картка форми N Т-2 складається фахівцем по кадрам за уніфікованою формою, містить в собі відомості про персональні дані працівника в повній відповідності з представленими документами. У разі поновлення стара особиста картка вилучається з розділу особової справи "анкетні-біографічні і характеризують матеріали", долучається до "Додатковим матеріалами" і замінюється новою. Особиста картка підписується фахівцем по кадрам.

Надалі особиста справа поповнюється документами, що виникають в процесі трудової діяльності працівника, до яких відносяться:

Атестаційні листи;

Копії документів про затвердження на посаді;

Інші характеризують і доповнюють матеріали, перелічені в розділі I цього Положення.

Особиста справа ведеться протягом усієї трудової діяльності працівника. Зміни, що вносяться до особової справи, повинні бути підтверджені відповідними документами.

Спеціаліст по кадрам отримує від прийнятого на роботу працівника документи, перевіряє повноту їх заповнення і правильність вказуються відомостей відповідно до пред'явлених документами.

IV. Права і обов'язки працівника в області захисту

його персональних даних

Працівник зобов'язується надавати персональні дані, що відповідають дійсності.

Працівник має право:

На повну інформацію про свої персональні дані і обробці цих даних;

На вільний безкоштовний доступ до своїх персональних даних, включаючи право на отримання копій будь-якого запису, що містить персональні дані працівника, за винятком випадків, передбачених законодавством РФ;

На визначення своїх представників для захисту своїх персональних даних;

На доступ до належать до нього медичними даними за допомогою медичного фахівцяза своїм вибором;

На вимогу про виключення або виправлення невірних або неповних персональних даних, а також даних, оброблених з порушенням вимог. При відмові роботодавця виключити або виправити персональні дані працівника він має право заявити в письмовій формі роботодавцю про свою незгоду з відповідним обгрунтуванням такої незгоди. Персональні дані оцінного характеру працівник має право доповнити заявою, що виражає його власну точку зору;

На вимогу про повідомлення роботодавцем всіх осіб, яким раніше були повідомлені невірні або неповні персональні дані працівника, про всі проведені в них винятки, виправлення і доповнення;

На оскарження до суду будь-яких неправомірних дій або бездіяльності роботодавця при обробці та захисту його персональних даних.

V. Облік, зберігання і передача персональних даних працівника

Особові справи, в яких зберігаються персональні дані працівників, є документами "Для внутрішнього користування".

Особиста справа реєструється, про що вноситься запис до журналу обліку особистих справ. Журнал містить такі графи:

Порядковий номер особової справи;

Прізвище, ім'я, по батькові співробітника;

Дата постановки справи на облік;

Дата зняття справи з обліку.

У кадровій службі (відділі) зберігаються особисті справи працівників, які працюють в даний час. Для цього використовуються спеціально обладнані шафи або сейфи, які замикаються і опечатуються. Особові справи розташовуються в порядку відповідно до їх номерами або в алфавітному порядку.

Після звільнення працівника до особової справи вносяться відповідні документи (заява про розірвання трудового договору, Копія наказу про розірвання трудового договору), складається остаточний опис, саме особиста справа оформляється і передається для зберігання.

Особові справи працівників, звільнених з організації, зберігаються в архіві організації в алфавітному порядку.

Не допускається:

Повідомляти персональні дані працівника третій стороні без письмової згоди працівника, за винятком випадків, коли це необхідно з метою попередження загрози життю і здоров'ю працівника, а також у випадках, встановлених законодавством РФ;

Повідомляти персональні дані працівника в комерційних ціляхбез його письмової згоди;

Запитувати інформацію про стан здоров'я працівника, за винятком тих відомостей, які відносяться до питання про можливість виконання працівником трудової функції.

Доступ до персональних даних працівників дозволяється тільки спеціально уповноваженим особам, при цьому зазначені особи повинні мати право отримувати тільки ті персональні дані працівника, які необхідні для виконання конкретних функцій.

При передачі персональних даних працівника третім особам необхідно попереджати їх про те, що ці дані можуть бути використані лише в цілях, для яких вони повідомлені, і вимагати від цих осіб підтвердження того, що це правило дотримане. Особи, які отримують персональні дані працівника, зобов'язані дотримуватися режиму секретності (конфіденційності). Виняток становить обмін персональними даними працівників у порядку, встановленому законодавством РФ.

Передача персональних даних працівника в межах однієї організації здійснюється відповідно до локальними нормативними актами даної організації.

Передача персональних даних працівника його представникам здійснюється в порядку, встановленому в організації. Обсяг інформації, що передається обмежується тільки тими персональними даними працівника, які необхідні для виконання зазначеними представниками їх функцій.

Персональні дані працівників є у всіх компаній. З 1 липня 2017 року застосовуються нові штрафи. Вони більше колишніх. Підкажемо, як працювати без порушень.

З 1 липня 2017 року підвищується відповідальність за порушення в роботі з персональними даними. Зміни торкнуться всіх без винятку роботодавців, у яких в розпорядженні є особисті відомості співробітників та інших фізосіб.

Що належить до персональних даних у 2017 році

Під персональними даними розуміється будь-яка інформація про фізособу (п. 1 ст. 3 Федерального закону від 27 липня 2006 № 152-ФЗ). До таких відомостей, відносяться прізвище, ім'я, по батькові, стать, вік, освіта, місце проживання фізичної особи тощо

А значить, всі документи з персональними даними фізосіб роботодавець повинен обробляти, зберігати і знищувати відповідно до вимог законодавства.

До таких документів належать:

• трудова книжка;
• паспорт або інший документ, що засвідчує особу;
• страхове свідоцтво обов'язкового пенсійного страхування;
• документи військового обліку- для військовозобов'язаних і осіб, які підлягають призову на військову службу;
• документи про освіту та (або) про кваліфікацію або наявність спеціальних знань - при вступі на роботу, що вимагає спеціальних знань або спеціальної підготовки;
• документи (довідки) містять відомості про стан здоров'я працівника;
• документи (довідки) містять відомості про вік або сімейний стан працівника.

липень

2017 року збільшаться штрафи за порушення правил роботи з персональними даними

Як забезпечити захист персональних даних

Розглянемо, що потрібно зробити в господарстві в зв'язку з захистом персональних даних співробітників та інших фізосіб. Всього п'ять кроків.

Крок 1. Закріпити порядок отримання, обробки, передачі та зберігання персональних даних в локальному акті організації. Наприклад в положенні про обробку персональних даних працівників (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закону від 27 липня 2006 № 152-ФЗ).

Крок 2. Призначте працівника, відповідального за роботу з персональними даними (ч. 5 ст. 88 ТК РФ). Це може бути співробітник відділу кадрів, який взаємодіє з особистими справами співробітників. Він буде отримувати згоду працівників на обробку персональних даних, вести картки співробітників і т.д.

Крок 3. Підготуйте шаблон згоди на обробку персональних даних. Без нього запитувати особисті відомості фізосіб не можна. Така згода має включати в себе наступну інформацію (частини 4 статті 9 Закону від 27 липня 2006 № 152-ФЗ):

• ПІБ, адресу співробітника, реквізити паспорта (іншого документа, що засвідчує його особу), в тому числі відомості про дату і місце видачі документа;
• найменування або ПІБ і адресу роботодавця, який отримує згоду співробітника;
• мета обробки персональних даних;
• перелік персональних даних, на обробку яких дається згода;
• найменування або ПІБ і адресу особи, яка здійснює обробку персональних даних за дорученням роботодавця, якщо обробка буде доручена такій особі;
• перелік дій з персональними даними, на вчинення яких дається згода, загальний опис використовуваних роботодавцем способів обробки персональних даних;
• термін, протягом якого діє згоду співробітника, а також спосіб його відкликання, якщо інше не встановлено федеральним законом;
• підпис працівника.

Зразок згоди на обробку персональних даних

Крок 4. Надати на вимогу фізособи інформацію, яка стосується обробки його персональних даних (ч. 7 ст. 14 Закону від 27 липня 2006 № 152-ФЗ). Серед таких відомостей, наприклад:

• підтвердження факту обробки персональних даних;
• мети обробки персональних даних;
• способи обробки персональних даних;
• найменування та адреса роботодавця, відомості про осіб (за винятком працівників оператора), які мають доступ до персональних даних або яким можуть бути розкриті персональні дані згідно із законом і т. д.

Як працювати з персональними даними на сайті

Опублікуйте чи інакше забезпечте необмежений доступ до документа, який визначає політику обробки персональних даних. Якщо господарство збирає персональні дані в інтернеті, цей крок теж потрібно зробити (п. 2 ст. 18.1 Закону від 27 липня 2006 № 152-ФЗ).

Наприклад, на деяких сайтах користувач вказує свої ПІБ та e-mail при реєстрації або відгуку на вакансію. Тоді на сайті потрібно розмістити посилання на документи:

• «Політика обробки персональних даних»;
• «Положення про обробку персональних даних» і т.п.

Скільки зберігати персональні дані

Персональні дані потрібно знищити через 30 днів з тієї дати отримання згоди на обробку його персональних даних. Інший термін можна встановити в договорі або угоді з фізособою.

Якщо у господарства немає можливості знищити персональні дані в строк, відомості потрібно заблокувати. Після цього знищити особисті відомості потрібно не пізніше, ніж через шість місяців (ч. 6 ст. 21 Закону № 152-ФЗ).

Знищує персональні дані комісія на підставі наказу керівника. Результат потрібно оформити у вигляді акта про припинення обробки персональних даних. Ще варіант - можна зробити запис про знищення в спеціальному журналі.

Кому загрожують нові штрафи за порушення роботи з персональними даними

З 1 липня 2017 року розшириться перелік підстав для притягнення роботодавця до адміністративної відповідальності у сфері захисту персональних даних. Крім того, збільшаться розміри штрафів (Федеральний закон від 7 лютого 2017 р №13-ФЗ).

Раніше штраф був тільки один: від 500 руб. до 1000 руб. для директора і від 5000 руб. до 10 000 руб. для юрособи (ст. 13.11 КоАП РФ). Тепер буде шість видів відповідальності. За різні порушення роботодавців в сфері персональних даних перевіряючі зможуть застосовувати кілька штрафів. Детальніше про види порушення і штрафи - в таблиці. → 00

Штрафи за порушення правил роботи з персональними даними