Содержание

Положение о защите персональных данных для маленькой организации

"Кадровик. ру", 2011, N 5

Вопрос: Наше ООО на сегодняшний день состоит, по сути, из трех работников: директора, главного бухгалтера и секретаря. Надо ли для нашей малочисленной организации разрабатывать положение о защите персональных данных? Директор и так уже возмущается по поводу вороха "жизненно необходимых" положений и приказов... Какое наказание предусмотрено за отсутствие положения о защите персональных данных?

Ответ: Согласно ч. 1 ст. 85 ТК РФ, персональные данные - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Также данное понятие раскрыто в ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных": это любая информация, относящаяся к определенному или определяемому на ее основании физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другие сведения.

Согласно ст. 86 ТК РФ, в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных сотрудника обязаны соблюдать, в частности, следующие требования:

- персональные данные должны быть защищены от неправомерного их использования или утраты, что должно быть обеспечено за счет средств работодателя в порядке, установленном ТК РФ и иными федеральными законами;

- обработка персональных данных должна проводиться исключительно в целях соблюдения законов и иных нормативных правовых актов для содействия работникам в трудоустройстве, обучении и продвижении по службе, для обеспечения личной безопасности персонала, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

- работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных, а также со своими правами и обязанностями в этой области;

- работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных сотрудников разрабатывается и утверждается работодателем с соблюдением требований ТК РФ и иных федеральных законов. На основании ст. 90 ТК РФ за нарушение норм, регулирующих обработку и защиту персональных данных, виновные лица привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также несут гражданско-правовую, административную и уголовную ответственность в порядке, определяемом федеральными законами.

Обязанность работодателя обеспечивать защиту персональных данных работника подтверждается судебной практикой. Так, например, Постановлением ФАС Московского округа от 14.01.2010 N КА-А40/14463-09 по делу N А40-38438/09-17-269 вынесено решение об удовлетворении требования о признании незаконным постановления о привлечении к ответственности на основании ч. 1 ст. 15.19 КоАП РФ за непредставление акционерам копии трудового контракта с генеральным директором. Данное требование было удовлетворено, поскольку административный орган не учел, что трудовой договор является документом, содержащим персональные данные работника, а нормами законодательства РФ, регулирующего правоотношения по предоставлению персональных данных работника, установлен запрет на передачу указанных данных третьим лицам.

Отсутствие в организации локального акта, касающегося порядка обработки, хранения и защиты персональных данных, также наказуемо, что находит отражение в судебной практике (см. извлечение из Постановления ФАС Московского округа от 01.11.2006, 08.11.2006 N КА-А40/10787-06 по делу N А40-32068/06-96-156).

Е. Рощупкина

Эксперт

Национального союза кадровиков

Подписано в печать

27.04.2011

hr-portal.ru

➤ Положение об обработке персональных данных образец

Положение о персональных данных работников — важный локальный акт. Его наличие и содержание обязательно проверит Роскомнадзор. Узнайте общие требования к оформлению и скачайте готовый образец положения. Можно сразу применять в работе!


Скачайте полезный документ:


Для чего нужно положение о персональных данных работников

Порядок обработки персональных данных (ПД) сотрудников устанавливает работодатель. Каждая организация должна разработать локальный акт, закрепляющий правила сбора, хранения и использования сведений личного характера в рамках кадровых, бухгалтерских и других процедур.

Положение об обработке персональных данных работников — обязательный локальный нормативный документ, за отсутствие которого работодателю грозит административная ответственность по статье 5.27 КоАП РФ. Именно его чаще всего запрашивают проверяющие. Чтобы понять, что следует понимать под обработкой персданных, читайте ответ эксперта  в «Системе Кадры».


Как разработать и утвердить положение об обработке и защите персональных данных

Закон не выдвигает четких требований к структуре и содержанию документа. Разрабатывайте и утверждайте его в том же порядке, что и другие локальные акты, оформляйте в соответствии со стандартами ГОСТ Р 7.0.97-2016. Содержание не должно противоречить нормам Трудового кодекса РФ и Федерального закона № 152-ФЗ от 27.07.2006. Типовое положение о персональных данных (образец) содержит несколько разделов, в которых раскрывается понятие персональных данных и описываются разные этапы их обработки. 

Разбейте «Положение» на тематические разделы:

  1. Общие положения. Укажите, какие именно данные считаются персональными и носят конфиденциальный характер. Перечислите нормативные документы, взятые за основу при разработке документа, и проставьте дату, с которой он вступает в силу.
  2. Получение и обработка ПД сотрудников. Опишите порядок сбора информации и виды документов, заполняемых сотрудниками организации начиная с момента трудоустройства (анкеты, карточки, ведомости). Перечислите типы сведений, которые работодатель не вправе требовать от работника (информация о частной жизни, политических убеждениях, религиозных взглядах). Укажите, кто отвечает за ведение личных карточек или дел сотрудников. 

Положение о работе с ПД (фрагмент): сведения о сотруднике, ответственном за ведение личных дел

 

  1. Хранение ПД. Закон обязывает хранить папки и документы, содержащие ПД работников, в специально отведенных для этого местах — сейфах и помещениях ограниченного доступа. Если организация ведет электронный учет и хранит сведения о персонале в информационных системах, опишите используемые методы защиты (пароли, обезличивание данных, ограничение доступа и т.д.). Определите круг лиц, которые имеют доступ к конфиденциальной информации и применяющих ее в работе.
  1. Использование ПД. Укажите, что сведения личного характера в соответствии с законом используют только для рабочих целей:
  • предоставления отпуска;
  • начисления зарплаты или компенсационных выплат;
  • оформления командировок;
  • других задач, связанных с трудовой функцией работника.
  1. Передача ПД. Работодатель не вправе разглашать и передавать третьим лицам персональные данные работника без его согласия, за исключением отдельных случаев, предусмотренных федеральным законодательством (судопроизводство, выполнение условий международного договора, запрос из ПФР или военкомата и т.д.). Эксперт журнала «Кадровое дело» расскажет, как правильнооформить письменное согласие на обработку или передачу данных
  2. Гарантии конфиденциальности. Закрепите право работника на защиту и сохранность персональных данных, а также на осведомленность об использовании конфиденциальных сведений, которые он предоставил работодателю. 

Наряду с «Положением», играющим роль внутреннего регламента, разработайте еще один важный документ — политику обработки персональных данных. Опирайтесь на рекомендации Роскомнадзора от 27.07.2017 и не забудьте разместите «Политику» в открытом доступе — например, опубликуйте на корпоративном сайте или повесьте распечатку при входе в офис, чтобы с ней могли ознакомиться не только сотрудники компании, но и третьи лица: клиенты, контрагенты, представители надзорных органов. Если этого не сделать, к работодателю могут применить штрафные санкции по статье 13.11 КоАП РФ. Эксперт «Системы Кадры» расскажет, какая ответственность грозит организации и ее должностным лицам за нарушения в работе с персональными данными.

Внимание! Не забудьте ознакомить с положением о ПД всех сотрудников организации под подпись. Новички, принимаемые в штат, должны ознакомиться с регламентом обработки персональных данных еще до заключения трудового договора.

Где скачать положение о персональных данных работников (образец)

Положение о ПД не обязательно разрабатывать с нуля. Чтобы исключить возможные ошибки и пережить проверку Роскомнадзора без претензий и штрафов, скачайте одобренные экспертами шаблоны документов по работе с ПД: политику, положение, согласие на обработку персональных данных и регламент допуска к обработке конфиденциальной информации в «Системе Кадры». Дополните базовый образец недостающими сведениями, условиями, реквизитами компании (согласно учредительным документам) и утвердите.

Гриф утверждения ставится в верхней части бланка, рядом с реквизитами, и заверяется подписью руководителя организации. Если локальные правила делопроизводства требуют утверждать каждый новый нормативный акт отдельным распоряжением, составьте приказ в свободной форме и ознакомьте с ним всех должностных лиц, ответственных за работу с ПД. Подробности — в журнале «Кадровое дело»: Три способа утвердить локальные нормативные акты.

Вывод

Положение о защите ПД должно быть в каждой организации. Разработайте и утвердите документ, используя типовой шаблон и ориентируясь на требования актуального законодательства, в частности, закона №152-ФЗ. Ознакомьте с «Положением» под подпись всех должностных лиц, ответственных за обработку персональных данных, а затем — остальных сотрудников.

www.kdelo.ru

Если на предприятии имеется Положение о защите персональных данных работника, то с ним необходимо знакомить всех сотрудников?

Если на предприятии имеется Положение о защите персональных данных работника, то с ним необходимо знакомить всех сотрудников? В каком документе нужно отражать, что работники с ним ознакомились под роспись - ПВТР, трудовой договор или иной документ? 

Рассмотрев Ваш вопрос, можно сказать, что Положение о защите персональных данных работника относится к внутренним нормативным документам организации.

В свою очередь, законодательство обязывает работодателя знакомить работников под роспись с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью. Так, например, при приеме на работу (до подписания трудового договора), а также в случае изменений, вносимых в этот документ, сотрудника необходимо ознакомить под роспись этим документом.

Действие Положения о защите персональных данных работника распространяется на всех работников, работающих в организации на основании заключенных трудовых договоров.

В соответствии со ст. 22 Трудового Кодекса РФ работодатель обязан знакомить работников под роспись с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью.


О том, уведомлении об обработке персональных данных в Роскомнадзор, читайте подробнее здесь.


Таким образом, можно сделать вывод, что при внесении изменений или дополнений в данный документ необходимо довести до сведения всех работников организации новую редакцию.

Что касается вопроса ознакомления.

Существует несколько вариантов ознакомления сотрудников с локальными нормативными актами.

Во-первых, можно вести специальный журнал ознакомления с Положениями.

Во-вторых, можно приложить к Положению лист ознакомления, в котором работники будут проставлять свои подписи.

Таким образом, Вы вправе самостоятельно определить порядок ознакомления работников с локальными документами организации, выбрав наиболее подходящий вариант для вас.

Подробности в материалах Системы:

  1. Ответ: Как организовать обработку персональных данных сотрудников

Защита персональных данных

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации (п. 8 ч. 1 ст. 86 ТК РФ). Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;

  • изменение;

  • блокирование;

  • копирование;

  • предоставление;

  • распространение;

  • иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. 4, 7 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

Ситуация: Является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (ст. 5.27 КоАП РФ). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

Нина Ковязина,

заместитель директора департамента образования
и кадровых ресурсов Минздрава России

www.kdelo.ru

Для чего нужно положение о персональных данных в организации

Вопрос В целях соблюдения закона о персональных данных достаточно ли иметь в организации только положение о защите персональных данных работников или нужно разрабатывать еще какие — либо документы? При приеме на работу сотрудника необходимо брать с него согласие на обработку персональных данных или достаточно ознакомить его с положением о защите персональных данных? Спасибо за помощь! Ответ Ответ на вопрос: В связи с введением закона № 152-ФЗ у работодателя появилась обязанность испрашивать разрешение на обработку персональных данных у всех сотрудников, как у вновь принимаемых на работу, так и бывших.

Положение о персональных данных (образец)

Отказ банка в проведении операции можно обжаловать Банк России разработал требования к заявлению, которое клиент банка (организация, ИП, физлицо) может направить в межведомственную комиссию в случае, когда банк отказывается проводить платеж или заключать договор банковского счета (вклада). < … «Больничное» пособие: нужно ли выплачивать за отработанные дни болезни В случае, когда в день оформления листка нетрудоспособности сотрудник находился на рабочем месте и получил за этот день зарплату, «больничное» пособие за этот день не начисляется. < … Главная → Бухгалтерские консультации → Общие вопросы деятельности организации Актуально на: 24 июля 2017 г. Персональные данные – это различного рода информация, которая относится к определенному физическому лицу (п.
1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Как и любая другая информация, персональные данные обрабатываются, т. е.

Составляем положение о защите персональных данных

Эти условия определены статьей 86 Трудового кодекса. Назовем некоторые из них:

  • сбор и обработка персональных данных работника могут осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, и только в объеме, отвечающем целям сбора и обработки персональных данных;
  • все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Образец положения о персональных данных работников

Инфо

При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.5.5. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.5.7.


Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных по форме Приложения N 1 к настоящему Положению. 6.

Положение о персональных данных работников.

РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;- по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом.5.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.5.4.

Как оформить положение о защите персональных данных сотрудников

Внимание

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ). С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч.


5 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей.

Защита персональных данных

Сен 2012 16:11 Персональные данные работника — это касающаяся конкретного лица информация, необходимая работодателю в связи с трудовыми отношениями. Законодательством предусмотрен ряд обязанностей по получению, хранению, передаче и защите персональных данных работников. Руководствоваться при этом работодателю следует не только положениями ТК РФ и федеральными законами, но и локальным актом, который должен быть в каждой организации.
В статье расскажем, как разработать Положение о персональных данных, что в него включить и на что еще обратить внимание. В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Положение о персональных данных

Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.7.5.
Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функции. 8.
Иными словами, работодатель осуществляет сбор, хранение, систематизацию, накопление и обновление информации, касающейся работников. Работа с личными данными ведется как с использованием средств автоматизации, так и без их применения. Обработка конфиденциальных сведений осуществляется не только в период сотрудничества, но и после его завершения, на стадии архивирования.

Ст. 22.1 Федерального закона от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» обязывает организации хранить личные дела работников в течение 75 лет. На всех этапах обработки личных сведений работодатель обязан предотвращать передачу их третьим лицам при отсутствии на то законных оснований. Комплекс соответствующих мер должен быть задокументирован как положение о работе с персональными данными работников.

В соответствии со статьей 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и других федеральных законов. Данная норма подразумевает регулирование порядка обработки персональных данных на локальном уровне. Следовательно, работодатель должен Положением о персональных данных определить порядок хранения, обработки и использования персональных данных. Поэтому указанный выше документ является обязательным и его отсутствие может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод подтверждается и судебной практикой (Постановление ФАС Московского округа от 26.10.2006 года № КА-А40/10220-06 по делу № А40-20745/06-148-194).

Для чего нужно положение о персональных данных в организации

Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. 188 УК РФ.8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике. Приложение N 1 к Положению о персональных данныхработников ООО «САТУРН» Обязательство о неразглашении персональных данных работниковООО «САТУРН» Я, с Положением о персональных данных работников ООО «САТУРН» ознакомлен(а).

territoria-prava.ru

Является ли обязательным документом организации

Подскажите, пожалуйста, является ли обязательным документом организации- положение о персональных данных сотрудника? и есть ли унифицированная или специальная форма такого положения?

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов. Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись.

Таким образом, можно сделать вывод, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность.

Также отметим, что унифицированной формы Положения о работе с персональными данными сотрудников законодательством не предусмотрено, поэтому его можно оформить в свободной форме.

Образец Положения см. ниже по тексту.


Статья о том, уведомлении об обработке персональных данных в Роскомнадзор, поможет вам не допускать ошибок в работе.


Подробности в материалах Системы:

  1. Ответ: Как организовать обработку персональных данных сотрудников

Персональные данные сотрудников

В организации персональные данные сотрудников содержатся в их личных карточках и личных делах (если они ведутся). Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника (например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п.). Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ и статье 10 Закона от 27 июля 2006 г. № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Защита персональных данных

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации (п. 8 ч. 1 ст. 86 ТК РФ). Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;
  • изменение;
  • блокирование;
  • копирование;
  • предоставление;
  • распространение;
  • иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. 4, 7 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

Ситуация: Является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (ст. 5.27 КоАП РФ). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

<...>

Нина Ковязина
заместитель директора департамента заработной платы, охраны труда и социального партнерства Минздравсоцразвития России

Положение о работе с персональными данными работников

«Альфа»


ИНН 7708123456, КПП 770801001, ОКПО 98756423

полное наименование организации, идентификационные коды (ИНН, КПП, ОКПО)

УТВЕРЖДАЮ
Директор
_________ А.В. Львов
30.01.2013

г. Москва

30.01.2013

ПОЛОЖЕНИЕ
о работе с персональными данными работников

1. Общие положения

1.1. Положение о работе с персональными данными работников «Альфы» разработано в


соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-


правовыми актами, действующими на территории РФ.

1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования,


хранения и т. д.) с персональными данными работников и гарантии конфиденциальности


сведений о работнике, предоставленных работником работодателю.

1.3. Настоящее Положение вступает в силу с 1 февраля 2013 года.

2. Получение и обработка персональных данных работников

2.1. Персональные данные работника работодатель получает непосредственно от работника.


Работодатель вправе получать персональные данные работника от третьих лиц только при


наличии письменного согласия работника или в иных случаях, прямо предусмотренных в


законодательстве.

2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие


сведения о себе:


– пол;


– дату рождения;


– семейное положение;


– отношение к воинской обязанности;


– местожительство и домашний телефон;


– образование, специальность;


– предыдущее(ие) место(а) работы;


– иные сведения, с которыми работник считает нужным ознакомить работодателя. В анкету


вклеивается фотография работника.

2.3. Работодатель не вправе требовать от работника представления информации о политических и


религиозных убеждениях и о его частной жизни.

2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет


достоверность сведений, сверяя данные, представленные работником, с имеющимися у


работника документами.

2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких


изменениях в разумный срок, не превышающий 14 дней.

2.6. По мере необходимости работодатель истребует у работника дополнительные сведения.


Работник представляет требуемые сведения и в случае необходимости предъявляет документы,


подтверждающие достоверность этих сведений.

2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся


информация, относящаяся к персональным данным работника. Ведение личных дел возложено на


отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.

3. Хранение персональных данных работников

3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся


информация, которая относится к персональным данным работника. Ведение личных дел


возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер


организации.

3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и


пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии


в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В


конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.

3.3. Персональные данные работников могут также храниться в электронном виде в локальной


компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные


работников, обеспечивается двухступенчатой системой паролей: на уровне локальной


компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем


руководителя организации и сообщаются индивидуально работникам, имеющим доступ к


персональным данным работников.

3.4. Изменение паролей заместителем руководителя организации происходит не реже одного


раза в два месяца.

3.5. В целях повышения безопасности по обработке, передаче и хранению персональных


данных работников в информационных системах проводится их обезличивание. Для


обезличивания персональных данных применяется метод введения идентификаторов, то


есть замена части сведений персональных данных идентификаторами с созданием таблиц


соответствия идентификаторов исходным данным.

3.6. Доступ к персональным данным работника имеют руководитель организации, его


заместитель, главный бухгалтер, а также непосредственный руководитель работника.


Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения


конкретных функций. Доступ специалистов других отделов к персональным данным


осуществляется на основании письменного разрешения руководителя организации или его


заместителя.

3.7. Копировать и делать выписки из персональных данных работника разрешается


исключительно в служебных целях с письменного разрешения руководителя организации, его


заместителя и главного бухгалтера.

4. Использование персональных данных работников

4.1. Персональные данные работника используются для целей, связанных с выполнением


работником трудовых функций.

4.2. Работодатель использует персональные данные, в частности, для решения вопросов


продвижения работника по службе, очередности предоставления ежегодного отпуска,


установления размера зарплаты. На основании персональных данных работника решается вопрос


о допуске его к информации, составляющей служебную или коммерческую тайну.

4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права


основываться на персональных данных работника, полученных исключительно в результате их


автоматизированной обработки или электронного поступления. Работодатель также не вправе


принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих


двоякое толкование. В случае если на основании персональных данных работника невозможно


достоверно установить какой-либо факт, работодатель предлагает работнику представить


письменные разъяснения.

5. Передача персональных данных работников

5.1. Информация, относящаяся к персональным данным работника, может быть предоставлена


государственным органам в порядке, установленном федеральным законом.

5.2. Работодатель не вправе предоставлять персональные данные работника третьей стороне без


письменного согласия работника за исключением случаев, когда это необходимо в целях


предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных


федеральным законом.

5.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или


настоящим Положением на получение информации, относящейся к персональным данным


работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с


запросом, выдается уведомление об отказе в выдаче информации, копия уведомления


подшивается в личное дело работника.

5.4. Персональные данные работника могут быть переданы представителям работников в


порядке, установленном Трудовым кодексом РФ, в том объеме, в каком это необходимо для


выполнения указанными представителями их функций.

5.5. Работодатель обеспечивает ведение журнала учета выданных персональных данных


работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем


запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении


персональных данных, а также отмечается, какая именно информация была передана.

6. Гарантии конфиденциальности персональных данных работников

6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и


охраняется законом.

6.2. Работник вправе требовать полную информацию о своих персональных данных, об их


обработке, использовании и хранении.

6.3. В случае разглашения персональных данных работника без его согласия он вправе требовать


от работодателя разъяснений.

Бухгалтер

В.Н.Зайцева

30.01.2013

www.kdelo.ru

Положение о работе с персональными данными сотрудников

 Заполненный образец 


«Альфа»
 ИНН 7708123456, КПП 770801001, ОКПО 98756423

полное наименование организации, идентификационные коды (ИНН, КПП, ОКПО)

УТВЕРЖДАЮ
Директор
_________ А.В. Львов
01.02.2016

 

ПОЛОЖЕНИЕ
о работе с персональными данными работников

г. Москва

01.02.2016

1. Общие положения

1.1. Положение о работе с персональными данными работников «Альфы» разработано в соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-правовыми актами, действующими на территории РФ.

1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.

1.3. Настоящее Положение вступает в силу с 1 февраля 2016 года. 

2. Получение и обработка персональных данных работников

2.1. Персональные данные работника работодатель получает непосредственно от работника.
Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.

2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:

  • дату рождения;
  • семейное положение;
  • отношение к воинской обязанности;
  • местожительство и домашний телефон;
  • образование, специальность;
  • предыдущее(ие) место(а) работы;
  • иные сведения, с которыми работник считает нужным ознакомить работодателя. В анкету вклеивается фотография работника.

2.3. Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и о его частной жизни.

2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.

2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.

2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.

3. Хранение персональных данных работников

3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, которая относится к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер организации.

3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.

3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.

3.4. Изменение паролей заместителем руководителя организации происходит не реже одного раза в два месяца.

3.5. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание. Для обезличивания персональных данных применяется метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.

3.6. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.

3.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.

4. Использование персональных данных работников

4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций.

4.2. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера зарплаты. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.

4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

5. Передача персональных данных работников

5.1. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

5.2. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

5.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.

5.4. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом РФ, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

5.5. Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

6. Гарантии конфиденциальности персональных данных работников

6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.

6.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

6.3. В случае разглашения персональных данных работника без его согласия он вправе требовать от работодателя разъяснений.

Бухгалтер

_________  В.Н. Зайцева

01.02.2016

 


nalogobzor.info

Является ли обязательным локальным актом организации "Положение о персональных данных работников"?Спасибо

Является ли обязательным локальным актом организации "Положение о персональных данных работников"?Спасибо

Ответ на вопрос:

Да, локальный акт, устанавливающий порядок обработки персональных данных работников является обязательным.

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов. При этом работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Такие требования установлены статьей 87, пунктом 8 статьи 86 Трудового кодекса РФ.

Из чего можно сделать вывод, что такой локальный акт должен быть у каждого работодателя, и с ним должны быть ознакомлены все работники при приеме на работу (ч. 3 ст. 68 ТК РФ).

Справочно:

Перечень обязательных кадровых документов и основания для их оформления размещены в Системе в специальной таблице http://www.1kadry.ru/?utm_source=www.kdelo.ru&utm_medium=refer&utm_campaign=qa_innerlink&#/document/117/19946/mar1/

Подробности в материалах Системы Кадры:

Ситуация: Является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (ст. 5.27 КоАП РФ). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников.

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Из ответа «Как организовать обработку персональных данных сотрудников»

Нина Ковязина,

заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

20.06.2017

С уважением и пожеланием комфортной работы, Роман Кондратюк,

эксперт Системы Кадры

www.kdelo.ru