Положение о персональных данных работников – образец 2019 года вы найдете в этой статье. Какой текст положения с учетом всех требований законодательства? Приведем пример.
Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).
В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого.
См. “Образец согласия на обработку персональных данных на 2019 год“.
Положение о персональных данных: структура
Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает директор. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).
С целью обеспечения выполнения требований к порядку обработки персональных данных работников и защите этих сведений работодатель может разработать и утвердить Положение о работе с персональными данными работников. Оно также может именоваться, например, Положением об обработке персональных данных работников, Положением о защите персональных данных или даже Положением о персональных данных работников.
Положение о персональных данных относится к тем локальным актам, которые обязательно должны быть в организации. Работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Отсутствие Положения может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой (см. Постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06 по делу № А40-20745/06-148-194).
Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно.
При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы:
- обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
- работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;
- работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.
Какие данные сотрудников являются персональными
Нормы законодательства определяют, что включается в состав личных данных человека. Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.
Сюда включаются:
- Полные личные данные работника (Ф.И.О.).
- Сведения о месте и дате появления его на свет.
- Адрес фактический и по регистрации.
- Социальное, семейное, имущественное положение.
- Имеющиеся у работника образование, профессия.
- Сведения о получаемых сотрудником доходах и т. д.
Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.
Список информации, которая может быть отнесена к ПД сотрудника не является закрытым, поэтому каждый субъект, ведущий бизнес, имеет право расширять его, при этом данные категории должны быть обязательно зафиксированы в Положении предприятия.
Внимание! Существует информация о работнике, которая никогда не должна запрашиваться администрацией компании, так как она является сугубо личной. Сюда относится, к примеру, вероисповедание, национальность. Если кто-то попытается узнать подобную информацию, это будет расценивать как попытка вторжения в личную жизнь работника.
Определение уровня защищенности
К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.
Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.
Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.
В акте указываются:
- персональные данные, обрабатываемые в ИСПДн;
- объем обрабатываемых ПД;
- уровень защищенности;
- тип актуальных угроз для ИСПДн.
Правовая база
О персональных данных в российском правовом поле информируют:
- Конституция России.
- Трудовой кодекс.
- Федеральный закон «О персональных данных» №152-ФЗ.
- Кодекс об административных правонарушениях.
- Уголовный кодекс.
Конституция гарантирует, что каждый гражданин имеет право на личную, семейную или профессиональную тайну, имеет право контролировать распространение информации об этом, пресекать это распространение. Если же данные распространяются недобросовестно, то гражданин вправе рассчитывать на защиту чести и достоинства.
Трудовой кодекс говорит о том, что собирать персональные данные работника кадровик или руководитель может исключительно с ясными и адекватными целями. ТК РФ однозначно запрещает хранение избыточного количества данных «на всякий случай».
В федеральном законе №153-ФЗ отмечена необходимость соблюдения полной безопасности данных, обозначены права, обязанности и ответственность граждан и операторов обработки.
КоАП РФ и УК устанавливают ответственность за нарушение указанных норм.
Назначение ответственных лиц
Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.
Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.
Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.
В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.
Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.
Что требуется для сбора информации?
Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:
- Организационная.
Определяет задачи, функции и объем ответственности сотрудников, которые проверяют и отвечают за сбор, обработку и сохранность конфиденциальных сведений работников.Сюда относятся:
- должностные инструкции;
положение;
- уведомления, письма;
- акты, приказы (о допуске сотрудников к работе с ПД).
- Технологическая.
Сведения из этой группы документов определяют порядок и способы реализации обеспечения защиты.Сюда относятся:
- инструкции по обработке данных;
перечни.
- Методическая.
Детализация процессов обработки, порядок и правила работы с ПД.
Важно! Все документы по защите и обработке ПД в обязательном порядке подлежат утверждению руководителя предприятия. На них должно стоять подтверждение ознакомления с документацией и визы согласования с иными лицами.
На нашем сайте есть другие материалы, посвященные вопросам защиты ПД. Прочтя их, вы узнаете:
- Какие уполномоченные органы по защите прав субъектов персональных данных существуют?
- Что такое политика обработки и защиты ПД?
- Как организовать и внедрить защиту данных в различных организациях?
Персональные данные – ключевые понятия
Работодатель сталкивается с вопросом о персональных данных постоянно.
Даже когда потенциальный сотрудник еще не работает в организации, а только направляет резюме — он уже предоставляет в распоряжение работодателя свои персональные данные. Постоянная работа с личными данными происходит при кадровом делопроизводстве — организация ежедневно коммуницирует с внешним миром, служба кадров обрабатывает огромный массив документов и во всех содержатся чьи-либо личные сведения.
Персональные данные — это любая информация, относящаяся к конкретному лицу непосредственно. Это информация, при помощи которой можно идентифицировать человека.
Получение, хранение, уточнение, корректировка и иные действия с данными — это их обработка. Обработкой персональных данных занимаются чаще всего кадровые службы.
Оператором обработки является любая организация, которая собирает и хранит данные. То есть абсолютно любая организация.
Что нового появилось в трудовом законодательстве на этой неделе расскажет Валентина Митрофанова. Смотрите новый выпуск «Кадрового обзора». |
Кто должен быть ознакомлен с документом?
Положение о ПД подкрепляется внутренним приказом, после подписания которого акт вводится в действие на предприятии или в организации. Приказ составляется делопроизводителем и подписывается генеральным директором учреждения.
Помните: всех сотрудников, которые уже трудоустроены или только трудоустраиваются, следует ознакомить с документом. Лица, ответственные за обработку ПД, должны не только ознакомиться с Положением, но и дать обязательство об их неразглашении.
Подробнее об обязательстве о неразглашении и других документах читайте тут.
Документы, закрепляющие вопросы обработки персональных данных, могут стать объектом проверки контролирующих органов. Поэтому к составлению подобных актов следует отнестись со всей ответственностью.
Как защитить персональные данные работника от любых злоупотреблений? Смотрим подробное видео:
Инструкция для работников
В повседневной жизни фирмы сотрудники работают со средствами автоматизации и программным обеспечением на персональных компьютерах. Поэтому помимо положения может быть разработана инструкция, определяющая порядок использования информационных систем. Документ включает в себя правила:
- безопасного использования различных программ и технических средств;
- применения логинов и паролей;
- предоставления доступа;
- антивирусной защиты;
- работы с носителями;
- другие моменты.
Таким образом, следует внимательно изучить законодательство, устанавливающее правила работы с личными сведениями граждан и правильно организовать процесс их сбора и защиты. Это позволит защитить заинтересованных лиц и избежать юридической ответственности.
О том, как организовать защиту информации на предприятии, рассказано в видео ниже.
Организационно-распорядительная документация
- Положение о защите ПД.
Является главным документом, который регламентирует деятельность предприятия в этой сфере, и определяет порядок хранения и использования личных сведений в компании. Это положение утверждается руководителем организации приказом и является обязательным к выполнению всеми работниками предприятия. - Приказ о допуске к документам с персональными сведениями.
В нем указаны все работники, у которых есть право работать с такой документацией. По каждому сотруднику прописывается, с какой именно информацией он может работать. Все лица, упомянутые в приказе, должны под роспись ознакомиться с этим документом и расписаться в листе ознакомления. - Инструкция по защите ПД.
Подробные правила, которые обязаны соблюдать служащие. Рекомендовано заключать соглашение о неразглашении данных с каждым из работников, допущенных к личной информации.
Внимание! Во избежание несанкционированного доступа к персональным сведениям, следует использовать ряд защитных мер, что включает в себя разработку комплекса специализированных организационно-распорядительных документов для внедрения в работу организации, которую проверяют соответствующие органы.
Итак, пакет документации по защите ПД включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.
Доступ к информации
Безусловно, доступ к информации имеется у оператора (тот, кто осуществляет обработку). Сам субъект имеет право обратиться к оператору за информацией, в том числе с требованием уточнить, изменить или дополнить ее. Сведения предоставляются оператором в доступной форме, при этом в них не должно быть информации о других лицах.
Статья 14 ФЗ № 152 содержит исключение, когда доступ субъекта ПД к его данным может быть ограничен. Речь идет о случаях легализации преступно полученных денежных средств, когда данные были получены в ходе ОРМ, и другие случаи.
Основные правила написания
При составлении локального акта ответственные лица могут руководствоваться примерными образцами документа, которые имеются в свободном доступе в глобальной сети. При этом каждый пункт внимательно прорабатывается и видоизменяется в соответствии с особенностями функционирования и структурой конкретной организации. Главное – отразить в документе ключевые пункты содержания договора о трудоустройстве, описанные ниже.
Шапка
Если акт не согласовывался с профсоюзными организациями, в шапке указываются лишь данные учреждения:
- наименование учреждения;
- надпись “Утверждено”;
- должность работодателя с фамилией и инициалами;
- номер приказа и дата его подписания;
- печать.
Если согласование происходило при участии представительного органа трудового коллектива, указываются название органа, фамилия ответственного, дата согласования.
Общий раздел
В разделе указываются:
- государственные законодательные акты, которыми руководствовался работодатель при разработке положения;
- процедура утверждения документа и ввода его в действие;
- срок действия;
- перечень сотрудников, которые обязаны следовать Положению.
Внимание: в начальном разделе документа можно указать базовые определения, которые будут встречаться в документе.
Критерии личных сведений
Раздел определяет, какие документы и сведения в них относятся к персональным данным. Чаще всего это информация, предъявляемая при заключении трудового договора:
- документы об образовании;
- паспортные данные, карточка пенсионного страхования и ИНН;
- информация о месте жительства и регистрации;
- состав семьи и состояние здоровья близких родственников, если это предполагает представление определенных условий или гарантий;
- состояние здоровья самого сотрудника (к примеру, инвалидность);
- информация о льготах.
Дополнительными сведениями могут считаться номер зарплатной карты, электронный адрес сотрудника, документы о прохождении курсов и повышении квалификации, документы о праве собственности на недвижимость, приказы по личному составу.
Важно! Работодатель не имеет права запрашивать у работника сведения, касающиеся его политических и религиозных убеждений, национальности.
Операции по обработке и порядок их осуществления
В этом разделе описывается порядок обработки информации – сбор, учет, передача, хранение, редактирование, ликвидация. В частности, требуется указать, в каких случаях информация получается лишь с письменного согласия сотрудника, в каких – от третьих лиц, когда письменного согласия от работника не требуется.
В раздел включают описание целей оперирования ПД, как хранятся сведения, какой режим действует для данных в письменном и электронном виде, какие меры предпринимаются работодателем для защиты ПД и ограничения доступа к ним, кто берет на себя финансовые расходы на обеспечение сохранности сведений.
Отдельным пунктом следует описать процедуру формирования и ведения личных дел сотрудников, кто имеет внешний доступ к информации и на каком основании.
При составлении трудового договора от работника следует получить письменное согласие на обработку персональных данных после его ознакомления со всеми пунктами Положения.
Более детально о том, как заполнить заявление на обработку и на другие операции с персональными данными работника, читайте тут.
Регламентация допуска
Это перечень должностей, которые имеют право неограниченного доступа к конфиденциальным сведениям, а также лиц, чей доступ к ПД ограничен. В первую группу лиц входит генеральный директор и непосредственный руководитель сотрудника, работники отдела кадров и сам владелец ПД.
Лицами, которым может быть предоставлен доступ к личным сведениям, могут выступать работники бухгалтерии, налоговые и статистические органы, органы страхования, воинского учета и исполнительной власти.
Обязанности и права сотрудника
Отдельно прописываются права работника, который предоставил работодателю сведения. Такими правами могут быть:
- право на получении копий документов, относящихся к ПД;
- право на защиту семейной или личной тайны;
- удаление неверной информации из личного дела.
Следует сделать акцент на обязанности сотрудника указывать только достоверную информацию о себе и своевременно оповещать отдел кадров об изменении важных данных, в частности фамилии, имени, пола, семейного положения, образования, назначения инвалидности, изменения состава семьи, места прописки и проживания и других сведений.
Ответственность
Раздел содержит указание видов ответственности, которая лежит на лицах, имеющих доступ к обработке ПД, какие законные последствия повлечет за собой нарушение принципов работы с персональными данными.
Следует помнить, что законодательство предусматривает дисциплинарную, административную, материальную и уголовную ответственность за нарушения в сфере персональных данных.