Если просто, то персональные данные — это сведения о человеке. Закон № 152-ФЗ от 26.07.2006 дает более длинную формулировку, где человек именуется субъектом, который определяется по четким критериям правовых норм. Также вопрос регламентирован главой 14 Трудового кодекса Российской Федерации и Конституцией Российской Федерации.
В первую очередь тема важна для работодателей, так как трудовые правоотношения напрямую связаны с обработкой сведений о персонале. Именно поэтому на каждом предприятии утверждается Положение о работе с персональными данными работников. К этим данным относятся:
- место жительства (регистрации);
- номер телефона;
- данные о документе, удостоверяющем личность;
- доходы (зарплата, налоги);
- наличие детей;
- семейное положение;
- образование;
- состояние здоровья;
- количество проработанных лет (стаж).
Утверждая Положение об обработке и защите персональных данных, вы можете дополнить или детализировать перечень.
Положение о защите персональных данных — 2019
Если обратиться к ст. 87 Трудового кодекса Российской Федерации и к статье 81.1 ФЗ 152, то прямого указания на порядок оформления работы с данными сотрудников нет. Нормы просто указывают на необходимость регламентировать такие операции. Самый распространенный на практике способ — издание соответствующего внутреннего документа. Образец Положения о персональных данных — 2019 можно скачать после прочтения статьи.
Локальный акт утверждается приказом по предприятию и подлежит доведению до сведения работников. Кроме ознакомления с самим локальным актом, работники подписывают согласие на обработку. Обработка — это сбор, систематизация, накопление, хранение, передача, уничтожение информации. Большую часть операций осуществляет специалист отдела кадров.
Цель локального акта — защитить личную, семейную тайну, обеспечить неприкосновенность частной жизни. Исходя их этих принципов, необходимо отразить в локальном документе следующее:
- виды ПД;
- действия, которые осуществляются с этими данными;
- кто и каким образом имеет доступ к охраняемой информации;
- обязанности лиц, осуществляющих обработку;
- ответственность за разглашение.
Образец Положения о персональных данных работников — 2019
Доступ к информации
Безусловно, доступ к информации имеется у оператора (тот, кто осуществляет обработку). Сам субъект имеет право обратиться к оператору за информацией, в том числе с требованием уточнить, изменить или дополнить ее. Сведения предоставляются оператором в доступной форме, при этом в них не должно быть информации о других лицах.
Статья 14 ФЗ № 152 содержит исключение, когда доступ субъекта ПД к его данным может быть ограничен. Речь идет о случаях легализации преступно полученных денежных средств, когда данные были получены в ходе ОРМ, и другие случаи.
Ответственность
Если сведения, ограниченные в распространении, были сообщены другим лицам, то виновные граждане понесут ответственность в виде штрафа в сумме 500 или 1000 рублей. Должностные лица за утечку данных заплатят от 4000 до 5000 рублей, согласно ст. 13.14 КоАП РФ.
Чтобы сотрудники вашей компании не допускали подобных нарушений, издайте локальный акт и контролируйте его соблюдение. Если вам необходим образец Положения об обработке персональных данных работников, то можно его скачать в нашей статье.
Кроме того, за разглашение личных данных могут уволить, так как эти сведения относятся к категории охраняемых законом. Основание (статья) для расторжения трудовых отношений — подпункт «в», пункта 6, части 1, статьи 81 ТК РФ.
Если хозяйствующий субъект оформляет трудовые соглашения с физлицами, ему приходится иметь дело со сведениями, которые являются их персональными данными. Положениями нормативных правовых актов устанавливается, что на работодателя возлагается обязанность по защите данной информации. Кроме этого, организация должна создать в качестве локального акта такой документ, как положение о персональных данных работников.
Каждому предприятию в той или иной мере приходится иметь дело с персональными данными физлиц. В большинстве случаев этот процесс включает в себя сбор, хранение, обработку, а также с согласия физлиц, разглашение.
Хозяйственная деятельность компании требует, чтобы ее интересы представляли работники, а для этого приходится составлять различные документы, что приводит к разглашению третьим лицам информации, относимой в соответствии с законодательством к персональным данным.
Это может быть оформление доверенностей, составление заявления на открытие картсчета и т. д. Получается, что работодатель сталкивается одновременно с необходимостью разглашения информации и обязанностью, предусматривающую их защиту.
Найти решение данной проблемы компании позволяет разработанное в организации Положение о персональных данных. Этот акт адаптирует существующие нормы законодательства к особенностям деятельность субъекта хозяйствования.
Внимание: Положение о персональных данных должны разрабатывать все организации и ИП, которые выступают в трудовых отношениях в качестве работодателей. Закон устанавливает, что работодатель является оператором по обработке персональных данных и должен состоять на учете в качестве его в Роскомнадзоре.
Данный локальный норматив разрабатывается в том же порядке что и другие акты компании, имеющие регламентирующие функции. Утверждение Положения осуществляется по общим правилам. Обязанность по созданию его может взять на себя руководитель организации или возложить эти функции на кадровую службу.
Положения и вводит его в действие. Важно помнить, что с Положением следует ознакомить каждого сотрудника компании, а также всех кто будет поступать на работу в организацию после его введения в действие.
Подтвердить ознакомление работников с Положением можно с помощью специальных журналов, в которых они должны проставить свои визы или с использованием ознакомительных листов.
Внимание: положение по ПД обязательно должно включать в себя согласие на обработку персональных данных. Этот документ заполняется работником при необходимости.
В нем работник разрешает работодателю работать с его личными данными и в определенных в этом бланке случаях разглашать сведения третьим лицам. Часто такой документ просят заполнить сотрудника компании, когда производиться оформление ему доверенности, запрашиваемой им справки.
Нужно помнить, у работника существует право отозвать данное согласие в любой момент времени.
Какие данные сотрудников являются персональными
Законодательно закреплено что относится к персональным сведениям работника. Это может быть информация как напрямую затрагивающая его, так и косвенно.
В состав персональных данных включаются:
- Полные Ф.И.О. сотрудника.
- Информация о месте и времени рождения физлица.
- Адрес его фактического проживания, а также адрес по прописке.
- Информация о семейном, социальном, а также имущественном положении сотрудника.
- Информация о получаемых сотрудником компании доходах.
Помимо закона о ПД существуют нормы , устанавливающие, что к персональным данным, которые работодатель должен защищать, следует относить все сведения, позволяющие идентифицировать человека как работника фирмы.
Таким образом данный список расширяется такими данными о работнике как состояние его здоровья (при существовании вредных и опасных условий работы), квалификация, образование, специализация, существование у него детей и т. д.
Внимание: данная информация не является строго закрытым списком, она может пополняться различными сведениями. На предприятии категории информации, относимой к персональным данным, обязательно фиксируются в Положение о ПД. Если она пополняется новыми данными, соответствующие коррективы нужно внести и в локальный акт предприятия.
Также существует перечень информации, которую запрещено запрашивать в любых обстоятельствах, поскольку она включена в состав личной.
К такой относится, например, сведения о национальности или вероисповедании. При попытке узнать данную информацию это будет расцениваться как попытка вмешательства в личную жизнь гражданина.
Положение о защите персональных данных работников 2018 образец скачать
Файлы для скачивания:
Что должно содержать положение о защите персональных данных в 2018 году
Действующие нормативные акты не устанавливают, какие именно разделы или сведения должны быть отражены в таком Положении. Также нигде не указываются критерии, по которым необходимо производить его оформление.
Обычно при подготовке этого акта используются требования закона о персональных данных, а также общепринятые нормы оформления внутренних актов в компаниях.
Общие положения документа
В данном разделе указываются цели, которые преследуются при его составлении. Здесь же нужно сделать отсылки к законам и иным нормативным актам в области защиты персональных данных. Также здесь нужно писать каким образом положение должно быть введено в действие, и как в него будут вноситься изменения.
Список персональных данных работников
Этот раздел является одним из самых важным во всем положении. Именно здесь будет указано, какие конкретные персональные данные будут подпадать под защиту.
Производить составление данного раздела лучше всего после того, как от работников будут получены все необходимые документы, а также проведен анализ содержащейся там информации.
Внимание: в этом же разделе можно указать внутренние документы компании, в которых могут также находиться персональные данные работников, а потому они также должна подлежать защите.
Работа с персональными данными
В этом разделе указываются структурные подразделения либо конкретные лица, которые получают право на доступ к персональным данным. Здесь де необходимо описать, на каких носителях и в каком случае могут храниться данные в субъекте бизнеса - к примеру, в виде бумажных распечаток, в виде электронной базы данных и т.д.
Доступ к персональным данным
В данном разделе описываются методы, при помощи которых персональные данные работников, имеющиеся в субъекте бизнеса, могут быть переданы другим работникам без соответствующих полномочий. Также в этом разделе необходимо описать, при следовании какого порядка происходит передача имеющихся данных в сторонние организации, госорганы, третьим лицам.
Обязанности сотрудников, кто имеет доступ к персональным данным
В данном разделе описываются действия, которые должны выполнять работники, имеющие доступ к персональным данным остальных сотрудников субъекта бизнеса.
Права работников по операциям с персональными данными
В данном разделе необходимо описать права сотрудников, которые передали организации свои персональные данные, а также права тех работников, какие имеют доступ к этим данным во время выполнения своих обязанностей.
Защита персональных данных
Здесь необходимо описать, как именно и в каком месте компании хранятся полученные персональные данные.
Также нужно подробно описать, какими именно способами происходит защита персональных данных на бумажных носителях - например, хранение в архивных шкафах с замками, установка кодового замка на двери архива и т. д.
Важно: также отдельно необходимо указать, где хранятся и как именно происходит защита данных, расположенных на электронных носителях.
Порядок утверждения положения
Процедура составления и ввода в действие данного внутреннего акта не зависит от процедуры любого другого локального документа.
Если в организации сформирован орган профсоюза, то вводить документ в действие можно только после согласования с этим органом. Проект документа передается туда, где в течение 5 дней должно пройти его рассмотрение. По завершении этого срока профсоюз должен в письменном виде высказать мнение о нем.
Орган может высказать отрицательное мнение, т. е. не согласиться с нормами документа. Тогда вместе с мнением предоставляются рекомендации по его изменению.
Администрация фирмы может принять предлагаемые изменения либо в срок трех дней инициировать дополнительные переговоры.
Внимание: даже если после их проведения противоречия остались неразрешимыми, стороны составляют и подписывают протокол разногласий. После этого шага администрация фирмы может принять документ в том виде, как он существует. Однако при возникновении спорных ситуаций профсоюз может оспорить ее через суд.
Если в компании нет профсоюза, но сформирован иной орган, который представляет интересы работников, то проводить согласование необходимо с ним.
Когда профсоюз вообще не сформирован, администрация вводит документ в действие самостоятельно при помощи подготовки приказа.
В этом распоряжении устанавливается дата, с которой положение начинает действовать, определяются ответственные лица по контролю за соблюдением документа, производится отмена старого положения (если новое создается взамен старого).
Внимание: если в приказе не проставить дату ввода положения в действие, то оно обретет силу с момента подписания распоряжения.
Ответственность за разглашение персональных данных
Последние серьезные изменения в закон о персональных данных вносились в 2017 году. Тогда были существенно расширены причины, по которым можно было получить штраф, а также изменились размеры самих штрафов.
В случае, когда сбор персональных данных производится не для целей, указанных в законе, либо производится их обработка неразрешенными методами, это может быть наказано предупреждением либо наложением штрафов:
- На граждан 1-3 тысячи рублей;
- На должностных лиц 5-10 тысяч рублей;
- На компанию 30-50 тысяч рублей.
Если у субъекта, который получил персональные данные, нет согласия на их обработку от владельца, хотя оно обязательно должно быть получено, то за это может накладываться штраф:
- На граждан 3-5 тысяч рублей;
- На должностное лицо 10-20 тысяч рублей;
- На компанию 15-75 тысяч рублей.
Внимание: также штраф может быть наложен за то, что субъект бизнеса не опубликовал в свободном доступе Положение о персональных данных, где указываются методы по получению, обработке и хранению данных.
Его размер составит:
- На граждан от 700 руб до 5 тысяч рублей;
- На должностное лицо 3-6 тысяч рублей;
- На предпринимателя 5-10 тысяч рублей;
- На компанию 15-30 тысяч рублей.
Если оператор данных не предоставил владельцу данных подробную информацию о том, каким образом будет проходить обработка данных, это будет наказано:
- На гражданина предупреждение или штраф 1-2 тысяч рублей;
- На должностное лицо 4-6 тысяч рублей;
- На предпринимателей 10-15 тысяч рублей;
- На организацию 25-40 тысяч рублей.
ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
В ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ХХХ»
Приложение № 1
к приказу № ____ от ________
об утверждении «Положения
о персональных данных работников»
УТВЕРЖДАЮ:
Генеральный директор
ООО «ХХХ»
___________ /___________________/
«____»____________ ________ г.
ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
ОБЩИЕ ПОЛОЖЕНИЯ.
1.1. Настоящим Положением «О персональных данных работников» определяется порядок обращения с персональными данными работников ООО "ХХХ" (далее по тексту - Общество).
1.2. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Общества и ее работников в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.
1.3. Персональные данные работника – это любая информация, относящаяся к данному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями, в том числе:
Фамилия, имя, отчество;
Пол, возраст;
Физиологические особенности человека;
Образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
Состояние здоровья и сексуальная ориентация;
Принадлежность лица к конкретной нации, этнической группе, расе;
Место жительства;
Привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
Семейное положение, наличие детей, родственные связи;
Факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
Религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в т.ч. в профсоюзе, и др.);
Финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
Деловые и иные личные качества, которые носят оценочный характер;
Фотография;
Прочие сведения, которые могут идентифицировать человека.
1.4. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества). Режим конфиденциальности в отношении персональных данных снимается:
В случае их обезличивания;
По истечении 75 лет срока их хранения;
В других случаях, предусмотренных федеральными законами.
1.5. Информация, содержащая персональные данные работников, используется Обществом, в частности, в целях выполнения требований действующего законодательства на территории РФ:
Трудового законодательства при приеме на работу, при предоставлении гарантий и компенсаций;
Налогового законодательства, в частности, в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога;
Пенсионного законодательства при формировании и предоставлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование;
При оформлении всех видов страхования, в том числе общего медицинского страхования;
При заполнении первичной учетной документации.
ОСНОВНЫЕ ПОНЯТИЯ. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
2.1. Для целей настоящего Положения используются следующие основные понятия:
2.1.1. персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2.1.2. обработка персональных данных работника - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
2.1.3. конфиденциальность персональных данных - обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;
2.1.4. распространение персональных данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или представление доступа к персональным данным работников каким-либо иным способом;
2.1.5. использование персональных данных - действия (операции) с персональными данными, совершаемые уполномоченным должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
2.1.6. блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
2.1.7. уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;
2.1.8. обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;
2.1.9. общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
2.1.10. информация - сведения (сообщения, данные) независимо от формы их представления;
2.1.11. документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. Информация, представляемая работником при поступлении на работу в Общество, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 ТК РФ лицо, поступающее на работу, предъявляет:
2.2.1. паспорт, удостоверяющий личность;
2.2.2. трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
2.2.3. страховое свидетельство государственного пенсионного страхования;
2.2.4. документы воинского учета - для лиц, подлежащих воинскому учету;
2.2.5. документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
2.2.6. свидетельство о присвоении ИНН (при наличии).
2.3. При оформлении работника Отделом по управлению персоналом заполняется унифицированная форма Т-2 "Личная карточка работника", в которой отражаются следующие анкетные и биографические данные работника:
Общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
Сведения о воинском учете;
Данные о приеме на работу;
Сведения об аттестации;
Сведения о повышенной квалификации;
Сведения о профессиональной переподготовке;
Сведения о наградах (поощрениях), почетных званиях;
Сведения об отпусках;
Сведения о социальных гарантиях;
Сведения о месте жительства и о контактных телефонах.
2.4. В Отделе по управлению персоналом создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
2.4.1. Документы, содержащие персональные данные работников:
Анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу;
Копия документа, удостоверяющего личность работника (здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа);
Личная карточка № Т-2 (в ней указываются фамилия, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность);
Трудовая книжка или ее копия (содержит сведения о трудовом стаже, предыдущих местах работы);
Копии свидетельств о заключении брака, рождении детей (такие документы содержат сведения о составе семьи, которые могут понадобиться работодателю для предоставления работнику определенных льгот, предусмотренных действующим трудовым и налоговым законодательством на территории РФ);
Документы воинского учета (содержат информацию об отношении работника к воинской обязанности и необходимы работодателю для осуществления в организации воинского учета работников);
Справка о доходах с предыдущего места работы (необходима работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с действующим налоговым законодательством на территории РФ);
Документы об образовании (подтверждают квалификацию работника, обосновывают занятие определенной должности);
Документы обязательного пенсионного страхования (необходимы работодателю для уплаты за работника соответствующих взносов);
Трудовой договор (в нем содержатся сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника);
Подлинники и копии приказов по личному составу (в них содержится информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника);
Дела, документы, содержащие основания к приказу по личному составу;
Дела, документы, содержащие материалы аттестаций работников;
Дела, документы, содержащие материалы внутренних расследований в Обществе;
Справочно-информационный банк данных по персоналу (картотеки, журналы);
Подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества, руководителям структурных подразделений;
Копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
2.4.2. Документация по организации работы структурных подразделений:
Должностные инструкции работников;
Приказы, распоряжения, указания руководства Общества;
Документы учета, анализа по вопросам кадровой работы, работы управления персоналом.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ.
3.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.3. Обработка персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:
Персональные данные являются общедоступными;
Персональные данные относятся к состоянию здоровья работника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
По требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
3.4. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.
3.5. Письменное согласие работника на обработку своих персональных данных должно включать в себя:
Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
Наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
Цель обработки персональных данных;
Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
Срок, в течение которого действует согласие, а также порядок его отзыва.
3.6. Согласие работника не требуется в следующих случаях:
Обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных
И круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;
Обработка персональных данных в целях исполнения трудового договора;
Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
3.7. Работники Общества представляют в Отдел по управлению персоналом достоверные сведения о себе.
3.8. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина руководитель Общества и его законные, полномочные представители при обработке персональных данных работника должны выполнять следующие общие требования:
3.8.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.8.2. При определении объема и содержания обрабатываемых персональных данных Генеральный директор Общества руководствуется Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
3.8.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
3.8.4. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.
3.8.5. Работники и их представители должны быть ознакомлены под роспись с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
3.8.6. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
3.9. Требования к обработке персональных данных.
В соответствии со ст. 3 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» обработка персональных данных - это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных.
Согласно ст. 5 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» персональные данные должны обрабатываться на основе принципов:
1) законности целей и способов обработки и добросовестности;
2) соответствия целей обработки целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых данных, способов обработки целям их обработки;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, лишних по отношению к целям, заявленным при сборе данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Работодатель учитывает положения ст. 86 Трудового Кодекса РФ, в соответствии с которой обработка персональных данных работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества.
3.10. Условия обработки персональных данных.
В соответствии со ст. 6 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» персональные данные должны обрабатываться с согласия (Приложение № 1.1.) субъектов персональных данных. Однако в силу п.2.ч.2 указанной статьи такого согласия не требуется, если обработка этих данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Исходя из упомянутой нормы обработка персональных данных работников, отношения с которыми оформлены трудовыми договорами, может происходить без согласия работников и работодатель имеет право и не требовать от работников согласия на такую обработку.
При недееспособности субъекта персональных данных письменное согласие на обработку его данных дает его законный представитель. В случае смерти субъекта персональных данных такое согласие оформляют его наследники, если оно не было получено от самого субъекта при жизни.
В случае отзыва работников согласия на обработку персональных данных работник оформляет в письменном виде работодателю Отзыв согласия на обработку персональных данных (Приложение № 1.2).
Приложение № 1.1., Приложение № 1.2. являются неотъемлемой частью Положения «О персональных данных», утвержденное настоящим приказом.
3.11. Обработка персональных данных без использования средств автоматизации.
К обработке персональных данных работников в Обществе применяются правила, предусмотренные для обработки данных без использования средств автоматизации, с учетом требований, указанных в п.3 ст. 4 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» о порядок обработки персональных данных, осуществляемой без использования средств автоматизации, «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 N 687.
ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ.
4.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
4.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
4.1.4. Осуществлять передачу персональных данных работников в пределах Общества в соответствии с настоящим Положением.
4.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
4.1.7. Передавать персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4.2. Персональные данные работников обрабатываются и хранятся в Отделе по управлению персоналом.
4.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
4.4. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
Наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
Цель обработки персональных данных и ее правовое основание;
Предполагаемые пользователи персональных данных;
Установленные федеральными законами права субъекта персональных данных.
4.5. Лица и органы, которым могут передаваться персональные данные без согласия работников.
При несчастном случае с работником работодатель обязан проинформировать соответствующие органы и организации, а при тяжелом несчастном случае (или смерти) - также его родственников. В данной ситуации согласия работника на передачу его персональных данных не требуется (ст. 228 Трудовой Кодекс РФ). Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 Трудовой Кодекс РФ.
Работодатель также обязан предоставить персональные данные работников государственным инспекторам труда при осуществлении ими надзорно-контрольной деятельности (ст. 357 Трудового Кодекса РФ). В соответствии со ст. 9 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" работодатель обязан представить указанные данные в Пенсионный фонд РФ в следующих случаях:
При начальной регистрации застрахованных лиц для индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования;
При приеме на работу не имевших до этого страхового стажа и страхового свидетельства обязательного пенсионного страхования граждан или при заключении с ними договоров гражданско-правового характера, на вознаграждения по которым в соответствии с законодательством РФ начисляются страховые взносы;
При ликвидации, реорганизации юридического лица;
При утрате работающим у него застрахованным лицом страхового свидетельства обязательного пенсионного страхования;
При изменении передаваемых сведений о работающих у него застрахованных лицах.
Согласно п. 2 ст. 11 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" страхователь представляет в Пенсионный фонд РФ ежеквартально, но не позднее 1 марта о каждом работающем у него застрахованном лице сведения, в которых указывает:
1) страховой номер индивидуального лицевого счета;
2) фамилию, имя и отчество;
3) дату приема на работу (для застрахованного лица, принятого на работу в течение отчетного периода) или дату заключения договора гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы;
4) дату увольнения (для застрахованного лица, уволенного в течение отчетного периода) или дату прекращения договора гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы;
5) сумму заработка (дохода), на который начислялись пенсионные взносы;
6) сумму начисленных пенсионных взносов;
7) другие сведения, необходимые для правильного начисления трудовой пенсии;
8) суммы страховых взносов, уплаченных за застрахованное лицо, которое является субъектом профессиональной пенсионной системы;
9) периоды трудовой деятельности, включаемые в профессиональный стаж застрахованного лица, которое является субъектом профессиональной пенсионной системы.
Федеральными законами могут быть предусмотрены иные случаи передачи персональных данных без согласия работника.
4.6. Оформление согласия работника на передачу его персональных данных.
В соответствии со ст. 88 Трудового Кодекса РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением предусмотренных законом случаев. Без согласия работника персональные данные не могут быть переданы работодателем в коммерческих целях. Соответственно, для передачи персональных данных необходимо письменное согласие работника (Приложение № 1.3.). В соответствии со ст. 88 Трудового Кодекса РФ работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. В соответствии с требованиями ст. 88 Трудового Кодекса РФ ввести в действие Приложение № 1.4 (образец запроса о предоставлении персональных данных работника), Приложение № 1.5. (образец ответа на запрос о предоставлении персональных данных работников).
Приложение № 1.3., Приложение № 1.4., Приложение № 1.5. являются неотъемлемой частью настоящего Положения «О персональных данных», утвержденное приказом.
ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКОВ.
5.1. Право доступа к персональным данным работников имеют в полном объеме:
Генеральный директор;
Заместитель Генерального директора по связям с общественностью;
Начальник отдела управления персоналом.
Всем остальным руководителям доступ к персональным данным работникам осуществляется только к личным данным работника своего подразделения.
5.2. Работник Общества имеет право:
5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
5.2.2. Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.
5.2.3. Получать от работодателя:
Сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
Перечень обрабатываемых персональных данных и источник их получения;
Сроки обработки персональных данных, в том числе сроки их хранения;
Сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
5.3. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения менеджера по персоналу.
5.4. Передача информации третьей стороне возможна только при письменном согласии работников.
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Ответственность работника, имеющего доступ к персональным данным других работников.
Исходя из смысла ст. 90 Трудового Кодекса РФ работник, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной (ст. 193 ТК РФ, ст. 90 ТКФ, ст. 81 ТК РФ) и материальной (ст.ст. 90, 238, 243 ТК РФ), а также к гражданско-правовой (ст. 151 ГК РФ, ч.2 ст.1099 ГК РФ, ст. 152 ГК РФ), административной (ст. 13.14. КоАП РФ) и уголовной ответственности (ст. 137 УК РФ).
6.2. Работодатель как юридическое лицо может быть привлечен к административной ответственности за нарушение порядка сбора, хранения, использования или распространения персональных данных. Генеральный директор, как руководитель юридического лица несет ответственность за нарушение как должностное лицо.
ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
7.1. Получение персональных данных от работника.
В соответствии с п. 3 ст. 86 ТК РФ все персональные данные работника работодатель получает у него лично. Если такие данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.
В соответствии с п. 1 ст. 9 Федерального закона № 152-ФЗ от 27.07.2006г. «О персональных данных» субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. В соответствии с вышеуказанным ФЗ № 152-ФЗ Работодатель обязан представить доказательство получения согласия на обработку персональных данных, а в случае обработки общедоступных данных – обязан доказать, что эти данные являлись общедоступными (п. 1 ст. 9 Закона о персональных данных). Согласия субъекта персональных данных не требуется, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку работник является стороной трудового договора, то письменное согласие на получение его персональных данных не нужно.
7.2. Получение персональных данных работника от третьих лиц. Согласие работника на предоставление таких данных третьими лицами.
Согласно п. 3 ст. 86 Трудового Кодекса РФ если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен (Приложение № 1.6. – согласие работника на получение работодателем получением персональных данных от третьих лиц) об этом заранее и от него должно быть получено письменное согласие (Приложение № 1.7. – согласие работника на получение работодателем получение персональных данных от третьих лиц). Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере таких данных и последствиях отказа работника дать письменное согласие на их получение. При отказе работника от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица составляется акт, который должен быть подписан лицами, предъявившими работнику соответствующее уведомление.
В уведомлении необходимо указать цели получения персональных данных работника у иного лица, предполагаемые источники информации (лица, у которых будут запрашиваться данные), способы получения данных, их характер, а также те последствия, которые наступят, если работник откажет работодателю в получении персональных данных у иного лица.
Целями получения персональных данных работника у третьего лица в соответствии с п. 1 ст. 86 Трудового Кодекса РФ являются исключительно соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества. Следовательно, запрашивать иную информацию, не имеющую отношения к вышеназванным целям, от третьих лиц работодатель не вправе даже с согласия работника».
Приложение № 1.6., Приложение № 1.7. являются неотъемлемой частью настоящего Положения «О персональных данных», утвержденное приказом.
ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
8.1. Организация учета и хранения персональных данных.
Согласно п.7. ст. 86 Трудового Кодекса РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. В соответствии со ст. 87 Трудового Кодекса РФ порядок хранения и использования персональных данных работников устанавливается работодателем.
8.2. Оформление журналов учета персональных данных.
Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то Работодатель ведет журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.
В журнале учета внутреннего доступа к персональным данным (доступа работников Общества к персональным данным других работников) указываются такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.
Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.
Работодатель ведет журнал учета выдачи персональных данных работников организациям и государственным органам, в котором регистрирует поступающие запросы, а также фиксирует сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечает, какая именно информация была передана.
Работодатель имеет право проводить регулярные проверки наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи Отделу управления персоналом необходимо вести журнал проверок наличия документов, содержащих персональные данные работника.
8.3. Оформление обязательства о неразглашении персональных данных работниками, имеющими доступ к этим данным.
В соответствии с пунктом 7 ст. 86 Трудового Кодекса РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей. Следовательно, работодатель оформляет с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, обязательство об их неразглашении (Приложение № 1.8. – Обязательство о неразглашении персональных данных);
8.4. Изменение и дополнение персональных данных .
Работник в течение одного рабочего дня обязан письменно уведомить Работодателя об изменении своих персональных данных, приложив соответствующие копии документов к письму-уведомлению об изменении своих персональных данных.
В случае изменений персональных данных работника работники Отдела управления персоналом составляют соглашение к трудовому договору об изменении персональных данных у работника.
Персональные данные работника и меры по их охране
Определение термина «персональные данные» для трудовой сферы до 07.05.2013 содержалось в ст. 85 ТК РФ. В качестве таковых указывались исключительно сведения, требующиеся и полученные работодателем в связи с трудовой деятельностью субъекта. Сейчас данная норма исключена.
В настоящее время толкование понятия персональных данных содержится в ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ: это вся информация, относящаяся к физлицу.
Работодатель как субъект, осуществляющий обработку личных сведений, обязан гарантировать защиту такой информации от противоправного доступа и использования.
Примеры документов, включающих персональные данные:
- карточка сотрудника (форма Т-2) содержит Ф.И.О. лица, сведения о семье, оконченных учебных заведениях;
- в трудовой книжке указаны стаж, предшествующие места работы;
- трудовой договор содержит название должности, размер вознаграждения и т.д.
Ст. 86 ТК РФ отмечает, что единственным источником личных сведений может выступать сам сотрудник. Когда такими данными обладает постороннее лицо, получить их допускается при условии, что на это согласен работник.
Грубым нарушением закона является сам факт необеспечения сохранности документации, содержащей персональную информацию, вне зависимости от наступления для лица негативных последствий (определение Челябинского облсуда от 14.03.2016 № 11-1913/2016).
Нюансы составления положения о работе с персональными данными (2019)
В ст. 87 Трудового кодекса и ст. 18.1 закона зафиксирована обязанность работодателя по формулировке и закреплению во внутренних актах порядка обработки, хранения личных данных персонала, перечня шагов по их защите. Указанным документом чаще всего является положение об обработке персональных данных работников.
Закон не предъявляет специфических требований к составлению локального акта. На практике в него включается следующая информация:
- общие нормы, содержащие предназначение акта, ссылки на нормативную основу его разработки;
- состав личных сведений, список их носителей;
- права работника по контролю за обращением с его личной информацией;
- меры, которые требуется предпринимать организации для защиты сведений, порядок обработки, использования;
- последовательность действий при передаче персональной информации;
- список сотрудников, обладающих доступом;
- санкции за неисполнение правил обращения с рассматриваемыми сведениями.
Положение о персональных данных работников подлежит утверждению приказом руководителя юрлица.
Всем работникам указанный акт предоставляется для ознакомления, для чего может быть заведен специальный журнал с перечнем работающих в компании субъектов, где каждый ставит подпись после прочтения правил.
Образец положения о работе с персональными данными можно скачать по ссылке: Положение о работе с персональными данными (образец-2019).
Работодатель, выступая субъектом, получающим и обрабатывающим личную информацию персонала, обязан принять необходимые меры для ее защиты при обработке, хранении, использовании. Соответствующие меры регламентируются положением о персональных данных, предоставляемым для ознакомления всем работникам.
"Отдел кадров коммерческой организации", 2012, N 8
РАЗРАБАТЫВАЕМ ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные работника - это касающаяся конкретного лица информация, необходимая работодателю в связи с трудовыми отношениями. Законодательством предусмотрен ряд обязанностей по получению, хранению, передаче и защите персональных данных работников. Руководствоваться при этом работодателю следует не только положениями ТК РФ и федеральными законами, но и локальным актом, который должен быть в каждой организации. В статье расскажем, как разработать Положение о персональных данных, что в него включить и на что еще обратить внимание.
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Помимо таких данных, как фамилия, имя, отчество, возраст, образование, место жительства, семейное положение, национальность, к персональным данным можно отнести религиозные и политические убеждения, сексуальную ориентацию и т. п. Что касается сферы трудовых отношений, персональными данными работника считаются только те сведения, которые необходимы работодателю в связи с трудовыми отношениями. Это, в первую очередь, информация об образовании, специальности, квалификации, состоянии здоровья (для занятия определенными видами деятельности), наличии детей, доходах (для замещения должностей государственной службы). То есть работодатель не имеет права запрашивать у работника информацию, например, о его вероисповедании или национальности. И когда в некоторых организациях на собеседованиях с претендентами задают подобные вопросы, тем самым нарушается право на неприкосновенность частной жизни.
В силу ст. 85 ТК РФ работодатель осуществляет обработку персональных данных работников, которая включает в себя действия по получению, хранению, передаче или иному их использованию. Кроме этого, работодатель должен обеспечивать их защиту от неправомерного использования, утраты в порядке, установленном ТК РФ и иными федеральными законами (п. 7 ст. 86 ТК РФ), за счет своих средств.
Хранение и обработка персональных данных, как правило, осуществляются одновременно с использованием электронной системы хранения и на бумажных носителях.
Какие данные в конкретной организации подлежат хранению и обработке как персональные, кто имеет доступ к таким данным, каким образом осуществляется их защита от несанкционированного доступа - обо всем этом говорится в положении о персональных данных (далее - Положение), которое должно быть разработано в каждой организации.
К сведению. Для государственных учреждений положения разрабатываются нормативными правовыми актами. Так, Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела утверждено Указом Президента РФ от 30.05.2005 N 609.
Порядок утверждения Положения
Если в организации есть профсоюз, Положение утверждается с учетом его мнения в порядке, определенном ст. 372 ТК РФ (если данное требование установлено коллективным договором или соглашением): работодатель направляет проект положения в выборный орган первичной профсоюзной организации, который не позднее пяти рабочих дней со дня его получения отсылает работодателю мотивированное мнение по проекту в письменной форме. Если оно не содержит согласия с проектом положения либо содержит предложения по его совершенствованию, работодатель может согласиться с этим либо обязан в течение трех дней после получения такого мнения провести дополнительные консультации с выборным органом в целях достижения взаимоприемлемого решения. При недостижении согласия оформляется протокол разногласий, после чего работодатель имеет право принять Положение, но оно может быть обжаловано выборным органом первичной профсоюзной организации в государственную инспекцию труда или в суд. Также профсоюз имеет право начать процедуру коллективного трудового спора.
Если в организации нет профсоюза, а есть иной представительный орган работников, Положение нужно согласовать с этим органом. Если же нет ни того, ни другого, работодатель утверждает положение самостоятельно, соблюдая процедуру согласования, установленную локальным нормативным актом организации. Как правило, принимаемый локальный акт согласовывается с начальником отдела кадров, главным бухгалтером, юристом или другими работниками. Положение вводится в действие приказом работодателя.
Приведем примерный образец такого приказа.
Общество с ограниченной ответственностью
Приказ N 203
об утверждении Положения о персональных данных
работников ООО "САТУРН"
Во исполнение гл. 14 ТК РФ, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", других действующих нормативно-правовых актов, а также в целях приведения локальных нормативных актов ООО "САТУРН" в соответствие с действующим законодательством РФ
ПРИКАЗЫВАЮ:
1. Ввести в действие с 26.06.2012 Положение о персональных данных работников ООО "САТУРН" (далее - Положение).
2. Менеджеру по персоналу Кукиной Л. А. до 29.06.2012 довести Положение до сведения всех сотрудников организации под роспись.
3. До 27.06.2012 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО "САТУРН" (по форме Приложения N 1 к Положению).
4. Местом хранения Положения определить кабинет отдела кадров организации.
5. Контроль исполнения данного приказа оставляю за заместителем генерального директора - директором по персоналу Максимовой Н. В.
Генеральный директор Королев /В. В. Королев/
С приказом ознакомлены:
Менеджер по работе с персоналом Кукина /Л. А. Кукина/
Директор по персоналу Максимова /Н. В. Максимова/
Сотрудников организации необходимо ознакомить с Положением под роспись, а вновь принимаемых на работу лиц следует в силу ст. 68 ТК РФ знакомить с Положением до подписания трудового договора. Что касается работников, участвующих в обработке персональных данных, ознакомить их с Положением недостаточно - они должны дать обязательство о неразглашении персональных данных.
Сведения, относящиеся к персональным данным, порядок их получения;
Перечень лиц, имеющих право доступа к персональным данным, их права и обязанности, режим доступа к таким данным;
Способы защиты персональных данных;
Права работника и работодателя в области обработки персональных данных;
Порядок ознакомления работника с его персональными данными, получения копий документов, их содержащих;
Ответственность за нарушение норм по обработке персональных данных.
Приведем образец Положения.
Общество с ограниченной УТВЕРЖДАЮ
ответственностью "САТУРН" Генеральный директор
(ООО "САТУРН") ООО "САТУРН"
В. В. Королев
"--" ------ 20-- г.
ПОЛОЖЕНИЕ
о персональных данных работников ООО "САТУРН"
1. Общие положения.
1.1. Положение о персональных данных работников ООО "САТУРН" (далее - Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.2006 N 152-ФЗ "О персональных данных" и иными нормативными правовыми актами.
1.2. Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО "САТУРН" (далее - Общество).
1.3. Персональные данные работника - любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).
1.4. При определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
2. Получение персональных данных.
2.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
2.2. При поступлении на работу претендент заполняет анкету, в которой указывает следующие сведения о себе:
Дату рождения;
Семейное положение;
Наличие детей, их даты рождения;
Воинскую обязанность;
Место жительства и контактный телефон;
Образование, специальность;
Стаж работы по специальности;
Предыдущее(ие) место(а) работы;
Факт прохождения курсов повышения квалификации;
Наличие грамот, благодарностей.
2.3. Работодатель не вправе требовать от претендента представления информации о политических и религиозных убеждениях, о частной жизни.
2.4. При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со ст. 65 ТК РФ.
2.5. Работодатель имеет право проверять достоверность сведений, представляемых работником. По мере необходимости работодатель истребует у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.
2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму N Т-2 "Личная карточка работника" и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел заместитель генерального директора - директор по персоналу.
2.7. Личное дело работника состоит из следующих документов:
Трудовой договор;
Личная карточка формы N Т-2;
Копия трудовой книжки;
Паспорт (копия);
Документ об образовании (копия);
Военный билет (копия);
Свидетельство о регистрации в налоговом органе (ИНН) (копия);
Пенсионное свидетельство (копия);
Свидетельство о заключении брака (копия);
Свидетельство о рождении детей (копия);
Копия документа о праве на льготы (удостоверение почетного донора, медицинское заключение о признании лица инвалидом, др.);
Результаты медицинского обследования (в случаях, установленных законодательством);
Документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).
2.8. Документы, поступающие в личное дело, хранятся в хронологическом порядке.
3. Хранение персональных данных.
3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам. Личные дела находятся в отделе кадров в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфавитном порядке.
3.2. Личные дела регистрируются в журнале учета личных дел, который ведется в электронном виде и на бумажном носителе.
3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передается в архив организации на хранение.
3.4. В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:
Трудовые книжки;
Подлинники и копии приказов (распоряжений) по кадрам;
Приказы по личному составу;
Материалы аттестаций и повышения квалификаций работников;
Материалы внутренних расследований (акты, докладные, протоколы и др.);
Копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
3.5. Персональные данные работников также хранятся в электронном виде на локальной компьютерной сети. Доступ к электронным базам данным, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей. Пароли устанавливает системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным работников. Пароли изменяются не реже одного раза в два месяца.
3.6. Кабинет отдела кадров оборудуется охранной системой и камерой видеонаблюдения.
3.7. Заместитель генерального директора - директор по персоналу осуществляет общий контроль соблюдения работниками мер по защите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числе с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.
4. Доступ к персональным данным.
4.1. Доступ к персональным данным работников имеют:
Учредители Общества;
Генеральный директор;
Заместитель генерального директора;
Финансовый директор;
Директор по персоналу;
Главный бухгалтер;
Начальник отдела безопасности;
Руководители структурных подразделений (только к данным работников своего подразделения);
Специалисты отдела по работе с персоналом и бухгалтерии - к тем данным, которые необходимы им для выполнения конкретных функций.
4.2. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.
4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.
5. Обработка персональных данных работников.
5.1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (ч. 1 ст. 10 Федерального закона N 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.2. Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:
Персональные данные являются общедоступными;
Персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
Обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;
Обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;
Обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
По требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
5.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.
5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
5.7. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных по форме Приложения N 1 к настоящему Положению.
6. Права и обязанности работника в области защиты его персональных данных.
6.1. Работник обязуется представлять персональные данные, соответствующие действительности.
6.2. Работник имеет право на:
Полную информацию о своих персональных данных и обработке этих данных;
Свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;
Определение своих представителей для защиты своих персональных данных;
Доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;
Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Передача персональных данных.
7.1. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом (Приложение N 2 к Положению).
7.2. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.
7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении таких данных.
7.4. Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.
7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
8. Ответственность за нарушение норм, регулирующих обработку персональных данных.
8.1. Разглашение персональных данных работника Общества, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные работника; иные нарушения обязанностей по их защите, обработке и хранению, установленным настоящим Положением, а также иными локальными нормативными актами Общества, лицом, ответственным за получение, обработку и защиту персональных данных работника, - влекут наложение на него дисциплинарного взыскания (выговора, увольнения по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ).
8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 ТК РФ.
8.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. 188 УК РФ.
8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.
Приложение N 1 к Положению о персональных данных
работников ООО "САТУРН"
Обязательство о неразглашении персональных данных работников
ООО "САТУРН"
с Положением о персональных данных работников ООО "САТУРН" ознакомлен(а). Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей.
Об ответственности за разглашение персональных сведений работников предупрежден(а).
(подпись)
Приложение N 2 к Положению о персональных данных
работников ООО "САТУРН"
Генеральному директору
ООО "САТУРН"
В. В. Королеву
от ________________________,
(фамилия, имя, отчество)
зарегистрированного по адресу
_____________________________
паспорт _____________________
Согласие
на передачу персональных данных третьей стороне
Я, ____________________________________________________________________
(фамилия, имя, отчество, должность)
в соответствии с абз. 1 ч. 1 ст. 88 ТК РФ
даю согласие Обществу с ограниченной ответственностью "САТУРН" (ООО "САТУРН"), расположенному по адресу ________________, на предоставление в ПФР следующих моих персональных данных:
Ф. И.О., дата рождения;
Номер свидетельства государственного пенсионного страхования;
Размер заработной платы;
Размер начисленных и уплаченных страховых взносов.
Настоящее согласие действительно в течение одного года с момента его получения.
_______________ "__" ______________ ____ г.
(подпись)
Заключение
Отметим, что документы, в которых закрепляются положения о вопросах обработки и защиты персональных данных, могут стать объектом проверки контролирующих органов, в частности сотрудников Роскомнадзора. Поэтому работодателю следует ответственно подойти к их разработке.
В заключение дадим несколько советов работодателям по оформлению локальных документов, регламентирующих работу с персональными данными сотрудников:
1. Разрабатывая документы, необходимо указывать конкретные нормы закона, на основании которых работодатель обрабатывает персональные данные.
2. Запрашивая с работника согласие на обработку его персональных данных, кроме нормы закона следует указывать цели, для которых они запрашиваются.
3. Помимо Положения в некоторых случаях нужно издавать приказы работодателя. Например:
Об установлении лиц, имеющих право доступа к персональным данным;
О назначении лиц, ответственных за защиту персональных данных;
О мерах, принимаемых для обеспечения безопасности персональных данных.
4. В Положении закрепляется четкий и подробный перечень сведений, которые являются персональными, а также конкретные способы обработки персональных данных, установленные ст. 3 Закона N 152-ФЗ и применяемые в организации (сбор, систематизация, хранение и т. д.).
5. Указывайте периоды совершения действий с персональными данными. Например, в согласии работника следует указать, что он дает согласие на передачу своих данных в течение одного месяца (или одного года и т. д.).
6. При разработке Положения можно использовать Постановления Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
Л. В.Куревина
Эксперт журнала
"Отдел кадров
коммерческой организации"
Подписано в печать
