Обработка, защита и хранение персональных данных работника – образец согласия при приеме на работу

В организации персональные данные сотрудников содержатся в личных карточках и личных делах, если они ведутся.

Получение персональных данных

Все персональные данные сотрудника вы можете получить только от него самого. Если персональные сведения возможно получить только от третьих лиц (например, от его прежнего работодателя), то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ и подтверждается разъяснениями Роскомнадзора от 14 декабря 2012 г.

Пример получения персональных данных сотрудника от прежнего работодателя

Сотрудница организации Е.В. Иванова устроилась в организацию «Альфа» в феврале 2015 года. В этом же году она ушла в декретный отпуск. В 2016 году сотрудница уходит в отпуск по уходу за ребенком. В связи с тем, что в 2015 году сотрудница была в декретном отпуске, для расчета пособия по уходу за ребенком до 1,5 лет Иванова попросила заменить 2015 год расчетного периода на 2012 год, который она полностью отработала у другого работодателя. Поскольку от предыдущего работодателя Иванова уволилась в январе 2015 года, при увольнении ей выдали справку о сумме заработка за 2014 и 2013 годы (п. 3 ч. 2 ст. 4.1 Закона от 29 декабря 2006 г. № 255-ФЗ).

Соответственно, информацией о заработке сотрудницы в 2012 году новый работодатель («Альфа») не располагает.

«Альфа» запросила необходимую информацию у предыдущего работодателя, предварительно уведомив Иванову и получив на это ее письменное согласие.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника (например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п.). Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ.

Получив персональные данные, работодатель не вправе распространять и раскрывать их третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Согласие сотрудника на обработку персональных данных

После получения персональных данных сотрудника у работодателя возникает необходимость их обработки.

По общему правилу обработку таких данных можно проводить только с письменного согласия сотрудников. В согласии должна быть указана информация об объеме обрабатываемых данных, целях, способах обработки, сведения о том, кто обрабатывает данные, срок, в течение которого действует согласие сотрудника, и его подпись (ч. 4 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Случаи обработки данных без согласия сотрудника

В отдельных случаях обрабатывать персональные данные сотрудника можно без его согласия. Например, в случаях, прямо предусмотренных коллективным договором, а также локальными актами организации (разъяснения Роскомнадзора от 14 декабря 2012 г.).

Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:

  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
  • налоговую инспекцию (ст. 24 НК РФ);
  • ФФОМС, ФСС России (ст. 15 Закона от 24 июля 2009 г. № 212-ФЗ);
  • военные комиссариаты (ст. 4 Закона от 28 марта 1998 г. № 53-ФЗ);
  • иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).

Также не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета, а также данных, переданные в архивную организацию.

Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Кроме того, не требуйте согласия сотрудника для передачи персональных данных банку при открытии и обслуживании платежной карты для начисления зарплаты:

  • если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;
  • если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
  • если соответствующая форма и система оплаты труда прописана в коллективном договоре организации.

Об этом сказано в абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Защита персональных данных

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в Положении о работе с персональными данными сотрудников (ст. 87 ТК РФ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации (п. 8 ч. 1 ст. 86 ТК РФ).

Ситуация: как защитить персональные сведения, находящиеся в компьютерной базе данных?

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8−16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Можно ли размещать данные на корпоративном сайте

Ситуация: можно ли разместить персональные данные своих сотрудников на корпоративном сайте?

Нет, нельзя.

Персональные данные сотрудника – это информация, необходимая организации и относящаяся к определенному физическому лицу (конкретному сотруднику). Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д. Об этом сказано в пункте 1 статьи 3 Закона от 27 июля 2006 г. № 152-ФЗ.

Размещение персональных данных на корпоративном сайте организации является распространением информации, которое возможно только с письменного согласия сотрудника (ст. 88 ТК РФ).

Совет: условия о размещении персональных данных сотрудников на корпоративном сайте пропишите в Положении о работе с персональными данными. К нему составьте приложение, в котором укажите список сотрудников, согласных (или несогласных) на размещение персональных данных. Таким образом, требование статьи 88 будет выполнено, и организация сможет разместить персональные данные сотрудников, согласных с таким размещением, на корпоративном сайте.

В целях обеспечения прав своих сотрудников организация и ее представители при обработке персональных данных обязаны соблюдать требования, регламентируемые статьей 86 Трудового кодекса РФ. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к административной и уголовной ответственности (ст. 90 ТК РФ). Или могут быть уволены с формулировкой «за разглашение персональных данных другого сотрудника на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса РФ».

Условие о неразглашении

Ситуация: можно ли в трудовых договорах сотрудников предусмотреть условие о неразглашении конфиденциальной информации?

Да, можно.

Но только в отношении тех сотрудников, которые непосредственно работают с персональными данными: кадровиков, менеджеров по персоналу, секретарей (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте сотрудника с Положением о работе с персональными данными.

Ответственность за разглашение

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ).

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (ст. 192 ТК РФ). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ).

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

  • для руководителя и главного бухгалтера – от 500 до 1000 руб.;
  • для организации – от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Такие меры ответственности предусмотрены статьями 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность для руководителя или главного бухгалтера организации может наступить за незаконное:

  • собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

В этом случае может наступить один из следующих видов ответственности:

  • штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет;
  • арест на срок до четырех месяцев.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

  • штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового. Данный вид уголовной ответственности будет применяться с 1 января 2014 года (ч. 3 ст. 8 Закона от 7 декабря 2011 г. № 420-ФЗ);
  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет;
  • арестом на срок до шести месяцев.

Такая ответственность предусмотрена в статье 137 Уголовного кодекса РФ.

В организации ведутся личные дела сотрудников. При приеме на работу специалист по кадрам снимает копии с документов и вкладывает их в личное дело. Правомерно ли это с учетом закона о защите персональных данных? Рассмотрим, как нужно поступать с документами и личной информацией сотрудников, чтобы не получить штраф от Роскомнадзора.

О ведении личных дел

Работодатель обязан вести личные дела сотрудников, если это прямо предписано нормативными актами. Например, такое требование установлено для органов исполнительной власти. У тех компаний, кто не попадает под действие таких актов, обязанности вести личные дела сотрудников нет. Однако иногда работодатели начинают их формировать по своей инициативе. В таком случае они сами составляют перечень документов, которые нужно включить в личное дело. Но при этом важно соблюдать закон о конфиденциальности персональных данных.

Итак, по той или иной причине в компании решено формировать личные дела работников. Прежде всего нужно составить локальный нормативный акт, который определит важные моменты и правила. Это может быть стандарт или положение. В нем целесообразно отразить все нормы оформления личных дели и состав документов.

Главное правило: не стоит собирать лишнюю информацию о сотруднике про запас — только то, что действительно важно. Иначе будут нарушены принципы работы с персональными данными.

Защита личных сведений

О работнике можно собирать только ту информацию, которая отвечает определенным целям обработки персональных данных. Иначе организация может быть оштрафована по статье 13.11 КоАП на сумму от 30 до 50 тыс. рублей. Должностное лицо получить штраф в размере 5-10 тыс. рублей, а гражданин — в сумме 1-3 тыс. рублей.

Как же правильно поступать с документами сотрудника? Обратимся к статье 65 Трудового кодекса. В ней сказано, что документы предъявляются физическим лицом при приеме на работу. Иначе говоря, документы должны быть предъявлены работодателю, после чего они возвращаются сотруднику. При этом в ТК РФ не говорится о том, что специалист работодателя вправе снимать с них копии.

Итак, без согласия работника кадровый специалист может сделать лишь следующее: взять документы сотрудника и внести информацию из них в его личную карточку Т-2.

На практике работодатели часто любят собирать разную информацию о своих сотрудниках и хранить копии их дипломов, СНИЛС, паспортов. Однако все это все эти документы содержат персональные данные работников, которые защищаются законом. Собирать личную информацию, которая соответствует законной цели. Причем цель должна быть вполне конкретной. Например, нельзя хранить персональные данные сотрудника на тот случай, если вдруг их запросит прокуратура или Служба судебных приставов. Пока такого запроса нет, эта информация работодателю не нужна. Соответственно, если он заранее ее собрал и хранит, тем самым он нарушает закон о защите персональных данных.

Важно! Обработка персональных данных гражданина допустима, если это необходимо, чтобы исполнить договор, стороной которого он является. Это сказано в части 1 статьи 6 закона о персональных данных от 27 июля 2006 года № 152-ФЗ.

Если работник дал согласие

Казалось бы, проблема решается просто — можно взять с работника документ о том, что он разрешает обработку своей информации. Но на самом деле этого недостаточно. Даже если сотрудник согласился, это не значит, что появилась законная конкретная цель для обработки данных.

Важно! Работодателям нужно запомнить простое правило: если нет цели, то нет и права хранить копии личных документов сотрудника.

В упомянутом законе определены принципы защиты персональных данных. Суть в следующем:

  1. Должны стоять конкретные, заранее определенные цели, в соответствии с которыми собираются личные данные человека. Как только эти цели достигнуты, обработка его персональных данных должна прекращаться.
  2. Нельзя собирать информацию, которая не соответствует упомянутым выше целям.
  3. Обработке подлежат только те сведения, которые соответствуют указанным целям.
  4. Содержание и объем обрабатываемых данных должен соответствовать цели обработки.

О согласии на обработку персональных данных сказано в статье 9 закона. Оно должно содержать опять же цель обработки, а также перечень действий, которые с этими данными могут быть совершены.

Вывод: хранить копии документов сотрудников в кадровом делопроизводстве можно только в том случае, если это нужно для конкретных целей.

Например, личные сведения могут быть собраны для размещения на сайте работодателя (в разделе «Наши сотрудники») или для оформления полиса добровольного медицинского страхования. Пример избыточной цели — хранение личных данных на случай поступления запроса из государственных органов.

О копии паспорта

В копии паспорта есть не только имя, дата рождения и прочая информация — она может являться источником биометрических персональных данных. В частности, на фото можно заметить особенности внешности человека. Такая информация охраняется законом. Соответственно, хранить копии паспортов работников нужно, во-первых, при наличии адекватных целей а, во-вторых, взяв с них согласие на это.

Подведем итоги

Итак, если работодатель планирует вести личные дела своих сотрудников, то просто приложить к ним копии документов неправомерно. Для этого необходимо, чтобы:

  • было законное основание (правовой акт или внутренний документ);
  • была определенная, законная и адекватная цель обработки информации;
  • было письменное согласие работника на обработку его персональных данных;
  • в согласии была указана цель обработки.

Эти выводы подтверждаются судебной практикой. В частности, постановлениями Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/2013 по делу № А53-12557/2013 и ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013.

Прием на работу

Кадровик сомневается, нужно ли согласие на обработку персональных данных при приеме на работу? Понятно, что компании и индивидуальные предприниматели, сотрудничая с работниками, получают доступ к их персональных данным. Полученную информацию хранят в личных карточках работников. Также подобные сведения содержатся в личных делах сотрудников, при условии их ведения работодателем. Надо ли согласие на обработку персональных данных при приме на работу? Расскажем в материале.

Нужны документы

Для трудоустройства нового сотрудника у него нужно истребовать ряд документов. Так как трудовые отношения строго регулируются Трудовым кодексом, то и перечень нужных документов секретом не является (ст. 65 ТК РФ). Перечислим требующиеся бумаги:

  • документ, удостоверяющий личность (паспорт, военный билет, паспорт моряка, свидетельство о рождении);
  • трудовая книжка (за исключением трудоустройства сотрудников, впервые поступающих на работу и совместителей);
  • страховое свидетельство обязательного пенсионного страхования (при его наличии у сотрудника);
  • документы воинского учета (военный билет, удостоверение гражданина, подлежащего призыву на военную службу для военнообязанных);
  • документ об образовании (при условии, что работа предполагает наличие специальных знаний и навыков).

При приеме гражданина на некоторые должности от него требуется предоставить дополнительные документы. Например, могут потребоваться:

  • справка о наличии или отсутствии судимости и уголовного преследования (при условии, что работа связана с деятельностью, к которой не могут быть допущены осужденные лица);
  • справка о том, что работник не наказывался за употребление наркотиков или психотропных веществ (при условии, что будущая работа связана с деятельностью, к которой нельзя привлекать лиц, которые были наказаны за употребление наркотических средств и психотропных препаратов);
  • заключение по результатам проведенного предварительного медицинского осмотра (если сотрудник принимается на вредную или опасную работу).

Читайте также:  Испытательный срок несовершеннолетних

Персданные

Ответ на вопрос: нужно ли разрешение на обработку персональных данных при приеме на работу зависит от того, какие сведения компания (индивидуальный предприниматель) хочет получить от сотрудника. На практике существует два варианта.

Нужно согласие

В рамках трудовых отношений работодатель может получать, хранить и передавать информацию о сотруднике, необходимую для исполнения трудового договора (п. 2, 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 1, разъяснений Роскомнадзора от 14.12.2012).

image

Так как сотрудник является одной из сторон трудового договора, получать согласие на обработку некоторых сведений работодателю не нужно. К ним относятся персональные данные, полученные организацией:

  • по результатам обязательных предварительных медосмотров (ст. 69 ТК РФ, п. 3 разъяснений Роскомнадзора от 14.12.2012);
  • из документов, предъявленных работником при заключении договора (ст. 65 ТК РФ);
  • от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 разъяснений Роскомнадзора от 14.12.2012);
  • из резюме соискателя, размещенного в Интернете в свободном доступе(п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 разъяснений Роскомнадзора от 14.12.2012);
  • от работника и размещенные в личной карточке по форме № Т-2, включая информацию о близких родственниках (п. 2 разъяснений Роскомнадзора от 14.12.2012).

Нужно согласие

В случае если работодатель хочет получить от кандидата дополнительную информацию (не нужную для заключения трудового договора), потребуется оформление согласия на обработку персональных данных. Речь идет о номере сотового телефона будущего работника или e-mail адресе.

Читайте также:  Работа несовершеннолетнего по договору ГПХ

Добавим, что получить согласие на обработку персональных данных при трудоустройстве нужно, если работодатель передает сведения о сотруднике (п. 5 разъяснений Роскомнадзора от 14.12.2012):

  • ЧОПу, который отвечает за пропускной режим на территории компании;
  • бухгалтерской или аудиторской компании, ведущей кадровый или бухгалтерский учет в организации.

Понравилась статья? Поделитесь ссылкой с друзьями:

Комментарии
Блог для кадровика: трудовое законодательство, образцы кадровых документов, оформление и прекращение трудовых отношений, выплаты в пользу работников и многие другие кадровые вопросы рассматриваются этом сайте. Наш сайт будет полезен кадровым работникам небольших организаций и индивидуальным предпринимателям. На сайте представлен бесплатный профессиональный контент. При этом мы стараемся минимизировать количество рекламы, чтобы она не отвлекала от прочтения статей.

Что такое персональные данные

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Как составить согласие на обработку персональных данных, смотрите в здесь.

См. также «Пропуск с фото может повлечь штраф за персональные данные».

Читайте также:  Учет эквайринговых операций в «1С:Бухгалтерии 8»

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Каким должно быть согласие на обработку персональных данных

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  1. Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Для чего нужно положение о работе с персональными данными

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников. Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты КонсультантПлюс. Получите пробный доступ к системе и переходите в материал.

Какая статья КоАП РФ предусматривает штраф за нарушения при обработке персональных данных, узнайте по ссылке.

Порядок утверждения положения о персональных данных сотрудников

image Порядок разработки и принятия у данного положения точно такой же, как и у любого другого внутреннего акта предприятия. Если в компании сформирован профсоюз, то принятие положения должно производиться только после его согласования с данным органом.

Проект документа нужно передать в профсоюз, у которого есть пять дней на его рассмотрение. По истечении этого срока орган должен в письменном виде представить свое мнение о нем.

Мнение органа может выражать несогласие с представленным документом. В этой ситуации вместе с выражением мнения предоставляются предложения по изменению положения. Администрация должна либо принять предлагаемые изменения, либо в срок трех дней провести с органом дополнительные обсуждения.

Если даже после этого согласие достигнуто не было, то обе стороны составляют и подписывают протокол разногласий. После этого шага администрация имеет право принять документ в том виде, как он предлагается. Но надо помнить, что профсоюз при возникновении спорной ситуации может обжаловать принятие положения в суде либо через трудинспекцию.

Если профсоюзный орган в организации не сформирован, но есть другой, представляющий интересы рабочих, то проводить согласование положения нужно с ним.

Если профсоюза нет вообще, то администрация вводит Положение о персональных данных в действие самостоятельно, принимая необходимый приказ. В этом распоряжении нужно проставить дату, с которой нормативный акт начинает действовать, определить ответственных лиц за соблюдение его, отменить предыдущий нормативный акт (если новое положение принимается взамен старого).

бухпроффи

Важно! Если в приказе не указана дата начала действия, то положение приобретает силу с даты подписания распоряжения.

Читайте также:  Основания, тонкости и наступающая ответственность, если не проводить обязательный аудит

Положение о персональных данных работников: структура документа

Рассматриваемый документ содержит локальные нормы, определяющие:

  • цели и задачи фирмы при работе с персональными данными;
  • перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
  • описание операций с данными, практикуемых компанией;
  • способы доступа к данным, используемые в фирме;
  • обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
  • права сотрудников фирмы на приобретение санкционированного доступа к данным;
  • правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

  • устанавливающим общие положения документа;
  • фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
  • определяющим перечень ключевых операций с персональными данными;
  • регламентирующим осуществление соответствующих операций;
  • определяющим порядок доступа работников фирмы и иных лиц к данным;
  • устанавливающим обязанности сотрудников, участвующих в операциях с данными;
  • устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
  • определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Насколько необходимо Положение о персональных данных

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Как составить приказ об утверждении положения о защите персональных данных работников?

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

  • положение о защите персональных данных наемных сотрудников;
  • обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
  • согласие самого работника на обработку персональных данных.

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Состав Положения о персональных данных

Разделы данного документа содержат следующие необходимые подпункты:

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Источник получения персональных данных

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Итоги

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

Читайте также:  7 советов начинающему ИП, чтобы избежать проблем (что-то вы точно из этого не знаете)

  • «Воинский учет в организации — пошаговая инструкция»;
  • «Какой срок хранения документов в архиве организации?».

Источники:

  • Федеральный закон от 27.07.2006 № 152-ФЗ
  • Трудовой кодекс РФ

Более полную информацию по теме вы можете найти в КонсультантПлюс. Пробный бесплатный доступ к системе на 2 дня.

Ответственность за разглашение персональных данных

C 1 июля 2021 года начали действовать поправки к законам и КОАП, которые касаются работы с личными данными. Среди них было существенное увеличение штрафов за нарушения в сфере обработки и хранения сведений о людях.

Закон о персональных данных с 1 июля 2021 года предусматривает следующие штрафы:

  • Так, если производится сбор персональных данных в не предусмотренных законом случаях, либо выполняется обработка несовместимая с целями, указанными в законе, это наказывается предупреждением либо штрафом для простых граждан в сумме 1-3 тыс. р., для должностных лиц — 5-10 тыс. р., для предприятий — 30-50 тыс. р.
  • Если у субъекта, получившего персональные данные, нет согласие на обработку персональных данных от их владельца, хотя оно обязательно должно быть получено, влечет наложение штрафа на граждан в сумме 3-5 тыс. р, на должностных лиц — 10-20 тыс. р., на организации — 15-75 тыс. р.
  • Также поправками была введена ответственность за то, что оператор не опубликовал в открытом доступе документ, описывающий его политику по получению, обработке и хранению личных данных. Это действие влечет за собой штраф на граждан от 700 до 5 тыс. р., на должностных лиц — 3-6 тыс. р., на предпринимателя — 5-10 тыс. р., на организацию — 15-30 тыс. р.
  • Если оператор данных не предоставляет владельцу сведения о том, каким образом производится обработка его данных, влечет наложение на граждан предупреждения либо штрафа в сумме 1-2 тыс. р., на должностных лиц — 4-6 тыс. р., на предпринимателей — 10-15 тыс. р, на компании — 25-40 тыс. р.

Перечень основных локальных документов

Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации. Во исполнение требований Закона № 152-ФЗ могут быть введены в действие следующие документы:

  • положение об обработке персональных данных (ст. 22);
  • план мероприятий для проведения контроля (ст. 18.1);
  • распорядительный акт о назначении ответственных (ст. 22.1);
  • внесение дополнений в должностные инструкции (ст. 22.1);
  • форма согласия на обработку персональных данных (ст. 6 и );
  • форма запроса на доступ (ст. 14);
  • формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении (ст. 20 и ).

Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.

Документы для скачивания (бесплатно)

  • Инструкция по защите ПД (образец)
  • Положение о защите персональных данных работников (образец)
  • Приказ о назначении ответственных за обработку ПД (образец)

Понравилась статья? Поделиться с друзьями: