Положение о персональных данных | Образец – бланк – форма

Положение о персональных данных – документ, раскрывающий основные положения работы с персональными данными работника, которые необходимы работодателю при трудовых отношениях. Документ разрабатывается на каждом предприятии и должен содержать ряд обязанностей по получению персональных данных, их хранению, передаче и защите полученных персональных данных работников.

Положение о персональных данных должно быть составлено в строгом соответствии с Федеральным законом № 152-ФЗ «О персональных данных». Персональные данные – это абсолютно любая информация, которая прямо или косвенно относится к определенному физическому лицу, конкретно – к работнику конкретного предприятия. Помимо стандартных данных о работнике, к персональным данным могут относиться: политические и религиозные убеждения, информация об образовании, полученной квалификации, наличие детей, состояние здоровья, среднегодовой доход. Структура Положения о персональных данных может быть следующей:

  1. Общие положения (цель принятия данного Положения, вопросы, которые оно регулирует).
  2. Основные понятия и состав персональных данных работников (перечень документов, которые необходимо соблюдать при обработке персональных данных работников).
  3. Обработка персональных данных (условия, которые должны быть соблюдены при обработке персональных данных).
  4. Передача персональных данных (порядок передачи данных работников внутри организации).
  5. Доступ к персональным данным (порядок доступа к данным работников).
  6. Ответственность за нарушение норм, которые регулируют обработку, а так же защиту персональных данных.

Положение о персональных данных, разработанное на конкретном предприятии содержит положения относительно перечня персональных данных, которые подлежат хранению и обработке, перечень лиц, которые имеют доступ к таким данным, а так же определяет каким образом происходит защита персональных данных работников от несанкционированного доступа.

blanker.ru

Положение о персональных данных

Прием сотрудников на работу сопровождается сбором у них персональных данных, которые в последующем требуются для заполнения многих документов, например, приказ о приме на работу, личная карточка, график отпусков, доверенности и другие значимые документы. Правила обращения с персональными данными работниками определяется на основании локальных нормативных актов, одним из них является положение о персональных данных.

Оглавление статьи

Что является персональными данными работника

[ads-pc-3] [ads-mob-3]

К персональным данным конкретного лица относится любая информация, которая может относиться к нему как в прямом виде, так и в косвенном. Так например, к таким данным относится: фамилия, имя и отчество, место жительство гражданина, образование, возврат, национальность, семейное положение и т.д. Помимо этого к персональным данным также относится и политические и религиозные убеждения, сексуальная ориентация и т.п. (ст.3 федерального закона «О персональных данных» №152-ФЗ от 27.07.2006).

Если говорить о трудовой сфере, то в этом случае персональными данными будут являться те сведения, которые требуются организации для заключения и ведения с гражданином трудовых отношений. В основном это сведения о состоянии здоровья, квалификации, специальности и образовании, наличии семьи и ее состав (количество детей). При этом на основании права о неприкосновенности частной жизни работодатель не вправе запрашивать данные об национальности гражданина или его вероисповедании.

В соответствии с ТК РФ ст. 85 работодатель на стадии приема, а также в ходе трудовой деятельности обрабатывает персональные данные сотрудников, что в свою очередь подразумевает получение, хранение, передачу и иное их применение. Помимо это в обязанности работодателя входит защита персональных данных от утраты, неправомерного использования согласно ТК РФ ст. 86 п.7 и федеральным законам, за счет собственных средств.

Как правило, обработка и хранение данных производится одновременно как на бумажных носителях, так и с применением электронной системы хранения. Положение о персональных данных описывает кто имеет право доступа к таким данным сотрудника, как осуществляется на предприятии их защита и другие важные моменты.

Государственные учреждения должны применять разработанные и утвержденные нормативные акты на основании Указа Президента РФ под номером 609 от 30.05.2005, таким является и данное положение для государственных гражданских служащих.

Порядок утверждения положения

[ads-pc-3] [ads-mob-3]

При наличии профсоюзной организации Положение должно утверждаться с учетом ее мнения согласно порядка, определенного ТК РФ ст. 372 (если такое требование установлено соглашением или коллективным договором): документ направляется работодателем в профсоюз организации, после чего выборный орган должен предоставить в течение 5 рабочих дней с момента получения мотивированное мнение по данному проекту, написанное в письменном виде. При наличии разногласий они должны быть указаны.

Если разногласия отсутствуют, то утвердить положение работодатель может в течение 3- рабочих дней с момента ответа. При наличии разногласий или дополнений необходимо провести дополнительную консультацию в выборным органом профсоюзной организации и принять взаимоприемлемый вариант. Если работодатель принимает положение не достигнув договоренности с профсоюзом, то документ может быть обжалован в суде или инспекции по труду.

При отсутствии представительного органа или профсоюза, то работодатель имеет право самостоятельно утвердить положение, в соответствии с принятым порядком, описанным в локальных нормативных актах. Акты согласовываются с отделом кадров, юристом, главным бухгалтером или другими работниками. Положение утверждается на основании соответствующего приказа руководителя.

Содержание положения

Общий порядок составления данного документа схож с оформление других положений и нормативных актов. Рекомендуется, чтобы положение включало в себя следующие сведения:

  • Информацию по порядку получения персональных данных.
  • Перечень лиц, которые имеют право доступа к персональным данным, режим доступа, а также их права и обязанности.
  • Порядок защиты личных данных сотрудников.
  • Порядок получения копий необходимых документов сотрудникам, порядок ознакомления с их содержанием.
  • Мера ответственности за нарушения норм по осуществлению обработки персональных данных.
  • В качестве приложение могут быть приложены: бланк согласие на обработку персональных данных, обязательство о неразглашении данных, согласие на передачу данных третьим лицам.

Нюансы

Отметим, что в определенных случаях положения, которые описывают порядок обработки, хранения и защиты данных могут потребоваться контролирующим органам для решения конфликтов с работниками, в частности это может быть Роскомнадзор. В связи с этим к подготовке и ведению этих документов следует относиться должным образом.

Некоторые советы по подготовке положения:

  • При разработки данного документа следует опираться на конкретные нормы законов, также следует указать цели, для которых собираются данные.
  • Кроме положения в определенных случаях желательно оформлять дополнительные документы:
  • Документ должен содержать подробный и четкий перечень сведений, являющихся персональными, в том числе способы их обработки.
  • Желательно указывать конкретный период совершения действий с данными (месяц, один год и т.д.).
  • В качестве основы для документа можно применять Положения, утвержденное Постановление Правительства №678 от 15.09.2008.

Образцы документов

Скачать образец положения о хранении и использовании персональных данных:

Образец обязательства о неразглашении персональных данных.

Скачать приказ об утверждении положения.

Скачать заявление – согласие на обработку персональных данных образец.

blankionline.ru

Образец положения об использовании персональных данных. Примерная форма. Положение о защите персональных данных работников

8575

Неприкосновенность частной жизни

Какие документы содержат персональные данные работника

Закон от 27.06.2006 № 152-ФЗ относит к персональным данным сведения, характеризующие конкретного человека. Нет разграничения по видам данных. Это значит, что практически вся информация о работнике подпадает под действие закона и должна быть защищена. Любой документ, содержащий фамилии, имена, не подлежит разглашению. Семейное положение, дети, день рождения, домашний адрес, размер доходов – все эти сведения конфиденциальны и не могут быть раскрыты без согласия их носителя.

Да, в Общем регламенте прямо предусмотрена возможность так называемых совместных администраторов. Это тот случай, когда цель и средства обработки совместно определяются двумя или несколькими доверенными лицами, которые посредством прозрачной договоренности определяют свои доли в ответственности за исполнение обязательств.

Как я, как администратор, касаюсь Общего регламента? Каждый контролер будет касаться Общего регламента по-другому, в зависимости от аспектов обработки, которую он делает. Это также должно соответствовать подготовке администратора к Общему регламенту. Подход, основанный на оценке риска, связывает некоторые обязательства только с обработкой высокого риска или высокого риска, поэтому некоторые обязанности многих администраторов не должны выполняться, тогда как другие менеджеры уменьшат все обязательства.

Среди бумаг работодателя персональные данные содержат:

  • кадровые документы – трудовые контракты, допсоглашения, личные карточки, приказы, заявления, личные дела, графики отпусков, акты о правонарушениях, докладные записки;
  • документы по оплате труда – расчетные листки, платежные ведомости, распоряжения о премировании и удержаниях заработка;
  • иные документы – списки персонала, участие в общественных мероприятиях и т. п.

Лица, составляющие и обрабатывающие эти сведения, должны быть предупреждены о том, что они работают с персональными данными и отвечают за неразглашение информации.

Каждый администратор должен сделать свой собственный анализ обработки, которую он / она выполняет, тем самым определяя возможные обязательства, которые относятся к нему. Анализ может также включать выявление недостатков доверительного управляющего, таких как обеспечение или рассмотрение правовых оснований и приведение их в соответствие с положениями Общего регламента.

Важно также не забывать о образовании сотрудников. Как насчет менеджера отношений – процессор? Администратор может обрабатывать персональные данные другого лица для обработки персональных данных. Контроллер должен использовать только такой процессор, который, учитывая природу, контекст, категорию персональных данных и их возможности, обеспечивает достаточные гарантии соответствующих технических и организационных мер, чтобы обработка персональных данных через процессор соответствовала требованиям Общего регламента и защищала права субъекта данных, С этой целью между контроллером и процессором должен быть заключен письменный договор, в котором излагаются предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категория субъектов данных, обязательства и права диспетчера.

Положение о персональных данных работников 2017

Ст. 87 ТК РФ требует от нанимателя регламентировать работу с личными данными персонала, но не определяет, каким образом это делать. На практике обязанность исполняется созданием Положения о персональных данных или иного локального документа. Персонал компании необходимо под роспись ознакомить с внутренним актом, а также получить разрешение на обработку сведений. В 2017 году ужесточается ответственность работодателя и уполномоченных лиц за раскрытие конфиденциальных материалов, поэтому следует уделить пристальное внимание содержанию Положения о персональных данных работников и их защите.

Нет необходимости быть отдельным контрактом, необходимые элементы могут быть включены в другой контракт, который администратор заключает с процессором в контексте, например, деловых или других отношений. Администратор не освобождает процессор от ответственности за обработку персональных данных.

Может ли процессор участвовать в обработке другого процессора? Это так называемая цепочка процессоров, которая не является априори запрещена, но администратор должен предоставить письменное разрешение процессору. Разрешение может быть предоставлено другому конкретному процессору или может быть предоставлено общее разрешение, но в этом случае процессор должен информировать диспетчера о любом наборе или замене. Цель состоит в том, чтобы гарантировать, что администратор, который в первую очередь реагирует на обработку персональных данных, знает, какие данные обрабатывают для него / нее.

Личные сведения о работнике законодательство разрешает собирать исключительно для достижения следующих целей:

  • исполнения законов;
  • оказания помощи в трудоустройстве и получении образования;
  • карьерного роста;
  • контроля за выполнением трудовых обязанностей;
  • сохранения жизни и здоровья подчиненных;
  • сохранности материальных ценностей предприятия.

Локальный акт должен конкретизировать цели сбора данных и определить объем получаемой информации.

Как администратор должен защищать личную информацию? Администратор должен принять технические и организационные меры для обеспечения и возможности продемонстрировать, что обработка осуществляется в соответствии с Общим регламентом с учетом характера, объема и целей обработки. Таким образом, каждый администратор должен принять адекватные меры безопасности, и для каждого администратора такая мера может быть различной в силу характера, объема и целей обработки.

Одной из функций защиты персональных данных является, например, их псевдонимация или шифрование. Однако эти элементы не являются обязательными. Однако их добровольное развертывание может привести к отказу, например, администратором обязательства сообщать о нарушении безопасности персональных данных субъекта данных.

Законодательство разрешает получать личные сведения только у самого человека, либо у третьих лиц с его согласия. Это норму следует закрепить в Положении, а также предусмотреть последствия отказа сотрудника от предоставления информации и выдачи разрешения на сбор сведений. В локальном акте можно закрепить бланк согласия на обработку персональных данных работника (2017) и получение сведений у третьих лиц.

Нарушением безопасности является нарушение безопасности, которое приводит к случайному или незаконному уничтожению, утрате, изменению или несанкционированному предоставлению или раскрытию переданных, сохраненных или иным образом обработанных персональных данных. В случае нарушения личных данных администратор должен рассмотреть вопрос о том, следует ли сообщать об этом в надзорный орган. уведомлять субъекта данных. Эти обязательства возникают, когда нарушение безопасности представляет собой риск, высокий риск для прав и свобод отдельных лиц.

Руководитель определяет круг лиц, допущенных к личной информации. Обычно, это HR-специалисты, бухгалтерия, юридический отдел, руководители подразделений. В Положении о персональных данных следует установить порядок работы с полученными сведениями, места хранения документов, права и обязанности ответственных лиц, виды наказаний за разглашение сведений.

В случае нарушения нарушения личных данных контролер должен сообщать об этом нарушении надзорному органу без неоправданной задержки и, по возможности, в течение 72 часов после его осознания, если только малов

www.uristol.ru