Работа с персональными данными сотрудников разработать инструкцию

Работодатель, принимая персональные данные[1] от работника, обязуется хранить и обрабатывать их определенным образом. За разглашение таких сведений ему грозят различные виды ответственности. В статье выясним, как работать с персональными данными и к чему ведет нарушение правил работы с ними.

Каждый человек имеет определенный «набор» информации, с помощью которой его можно идентифицировать: Ф.И.О., дата рождения, образование, семейное положение, национальность, религия и многое другое.

Работодатель при трудоустройстве работника вынужден запрашивать у него некоторые персональные данные, чтобы оформить трудовые отношения. Трудовой кодекс РФ обязывает работника предоставить при трудоустройстве паспорт, трудовую книжку и т.д., то есть документы, содержащие персональные данные.

ПОРЯДОК РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

Шаг 1. Определяем, какие документы организации содержат персональные данные

Прежде всего необходимо понять, какая информация относится к персональным данным, в каких документах она содержится.

Работу с персональными данными регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»[2], гл. 14 ТК РФ.

Персональными данными работника будет следующая информация:

• фамилия, имя, отчество;

• пол, возраст;

• дата и место рождения;

• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

• состояние здоровья;

• гражданство;

• место жительства;

• номера телефонов;

• семейное положение, наличие детей, родственные связи;

• факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

• изображение человека (фотография и видеозапись), которое позволяет установить личность;

• финансовое положение;

• деловые и иные личные качества, которые носят оценочный характер;

• другие сведения, которые могут идентифицировать человека.

Эти документы, будь то в бумажном или электронном виде, хранятся в таких условиях, чтобы персональные данные не стали известны лицам, не имеющим на то полномочий.

К документам организации, содержащим персональные данные работников, относятся:

• анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу;

• копии документов, хранящиеся в личном деле работника: документа, удостоверяющего личность работника (паспорт), документов воинского учета, документа обязательного пенсионного страхования, свидетельств о заключении брака, рождении детей, документов об образовании;

• трудовая книжка;

• личная карточка по форме № Т-2;

• трудовой договор и дополнительные соглашения к нему;

• подлинники и копии приказов по личному составу;

• документы оплаты труда;

• документы об обучении, оценке, аттестации работников;

• базы данных, обрабатываемые автоматически (например, таблицы Excel, базы программы «1С»);

• при необходимости – иные документы, содержащие персональные данные работников.

Основное правило, определяющее работу с персональными данными, устанавливает ст. 7 Федерального закона № 152-ФЗ:

Именно этим правилом должен руководствоваться работодатель при организации работы с персональными данными работников. Определив документы, содержащие персональные данные, и способы получения персональных данных, работодателю необходимо организовать систему защиты персональных данных.

Шаг 2. Разрабатываем и вводим в действие положение о защите персональных данных

Статья 86 ТК РФ обязывает работодателя принять локальный нормативный акт (далее – ЛНА), который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является положение о защите персональных данных работников.

Согласно п. 8 ст. 86 ТК РФ работники должны быть ознакомлены под роспись с таким положением. Если работник принимается на работу и в организации уже есть такое положение, то он знакомится с ним до подписания трудового договора в силу ч. 3 ст. 68 ТК РФ.

Обязательное наличие в организации ЛНА, закрепляющего порядок хранения и использования персональных данных, подтверждается также судебной практикой (см. постановление Мирового судьи Судебного участка № 1 Воробьевского района Воронежской области от 30.06.2017 по делу № 5-209/2017).

Пример положения о защите персональных данных приведен в Приложении.

Шаг 3. Назначаем лицо, ответственное за обработку персональных данных

Согласно п. 1 ст. 22.1 Федерального закона № 152-ФЗ работодателю необходимо назначить лицо, ответственное за обработку персональных данных. Он будет следить за сохранностью персональных данных как на бумажных носителях, так и в электронном виде.

Можно назначить двух ответственных: одного – за работу с персональными данными на бумажных носителях (например, специалиста отдела кадров), другого – за работу с персональными данными в электронном виде (например, системного администратора).

Назначение ответственного лица оформляется приказом (Пример 1). Данная обязанность отражается в должностной инструкции работника.

Шаг 4. Закрепляем права доступа к персональным данным в приказе

Согласно ст. 88 ТК РФ работодатель обязан разрешить доступ к персональным данным работников только специально уполномоченным на это лицам. Необходимо определить, кто работает с персональными данными работников. Именно этим специалистам и необходимо дать доступ к «секретным материалам», оформив приказ (Пример 2).

В приказе согласно закону необходимо отразить, кто (должности, Ф.И.О.), к каким персональным данным и с какой целью (какие функции выполняет с использованием персональных данных работников) имеет доступ; отразить данные о сотрудниках, имеющих доступ к персональным данным как на бумажных носителях, так и в электронном виде.

 

[1] См. также Куролес И.И. Конфиденциальность информации. Что нужно знать секретарю // Секретарь-референт 2018. № 1. С. 78.

[2] В ред. от 29.07.2017, далее – Федеральный закон № 152-ФЗ.

[3] Пункт 1 части первой ст. 3 Федерального закона № 152-ФЗ.

Материал публикуется частично. Полностью его можно прочитать в журнале «Секретарь-референт» № 5, 2018.

Источник

Добавить в «Нужное»

Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 26 ноября 2018 г.

Содержание журнала № 23 за 2018 г.

С самого начала своей работы каждая компания получает и обрабатывает персональные данные. И первые сведения, с которыми она сталкивается (причем еще на стадии подбора персонала), — персональные данные работников. При этом штрафы за недочеты в работе с этими сведениями довольно суровые. Поэтому важно знать, каким образом надо организовать работу, чтобы таких штрафов избежать.

Как организовать работу с персональными данными сотрудников

Ознакомьте работника с Положением о работе с персональными данными

Положение о работе с персональными данными (Положение) — это локальный нормативный акт, который обязательно должен быть в организациист. 87 ТК РФ; п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ). В нем подробно прописываются правила обработки, хранения и использования организацией персональных данных (ПД) работников компании. Если в организации не будет принято такое Положение, ее и генерального директора могут привлечь к административной ответственностист. 5.27 КоАП РФ.

Универсальной формы этого документа нет, поэтому каждая организация должна самостоятельно разработать и утвердить его. Обычно Положение состоит из следующих разделов.

Общие положения. В этом разделе нужно прописать цели принятия Положения, например: «Определить порядок обращения с персональными данными работников». Также нужно перечислить, что относится к таким данным. Нужные формулировки можно взять из ст. 3 Закона № 152-ФЗ.

Основные понятия. Все понятия можно взять также из ст. 3 Закона № 152-ФЗ.

Состав персональных данных. В этом разделе необходимо перечислить, какие документы содержат персональные данные работников. Например, это:

документы, необходимые для заключения трудового договора;

оригиналы и копии приказов и распоряжений;

личные дела и трудовые книжки;

налоговая, статистическая и иная отчетность.

Работодатель должен не только стоять на защите персональных данных работников, но и обезопасить себя. Поэтому лучше оформлять согласие на обработку ПД даже тогда, когда законодательство этого не требует

Работодатель должен не только стоять на защите персональных данных работников, но и обезопасить себя. Поэтому лучше оформлять согласие на обработку ПД даже тогда, когда законодательство этого не требует

Обработка персональных данных. Под обработкой персональных данных подразумеваются действия с ними, в том числе их сбор, накопление, систематизация, хранение, использованиеп. 3 ст. 3 Закона № 152-ФЗ, удаление и уничтожение. В этом разделе нужно назвать условия, которые должны соблюдаться при обработке персональных данных. Их можно переписать из ст. 6 Закона № 152-ФЗ.

Передача персональных данных. В этом разделе укажите, по каким правилам вы передаете персональные данные работников внутри организации и третьим лицам, а также получаете сведения от этих лиц. Тут же нужно указать, где и как хранятся персональные данные. Чаще всего они хранятся и обрабатываются в отделе кадров и бухгалтерии в бумажном или электронном виде.

Доступ к персональным данным. В этом разделе нужно указать, кто из сотрудников имеет доступ к персональным данным. Обычно это руководитель организации, сотрудники бухгалтерии и отдела кадров, начальник структурного подразделения, где работает человек, чьи персональные данные обрабатываются.

Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных. В этом разделе нужно указать, что работники компании, нарушившие правила Положения, несут дисциплинарную, материальную, административную, гражданско-правовую и уголовную ответственностьст. 90 ТК РФ.

Ознакомьте всех работников (в том числе и тех, кого только принимаете на работу) с Положениемч. 2 ст. 22, ст. 68 ТК РФ. Подтверждением того, что работник с ним ознакомился, будет его подпись:

или в трудовом договоре, если в нем есть ссылка на Положение;

или в листе ознакомления с Положением;

или в журнале ознакомления с локальными актами.

Внимание

Не стоит путать Положение о работе с персональными данными с Политикой обработки персональных данных, определяющей цели и общие принципы обработки, а также методы защиты всех (а не только полученных от работников) персональных данных. О том, как составить Политику обработки персональных данных, мы рассказали в статье «Как составить Политику обработки персональных данных» (см. , 2018, № 22).

Получите согласие работника на обработку персональных данных

Согласие на обработку ПД нужно получить, когда организации требуется информация о работнике, помимо той, которая необходима, чтобы заключить и исполнить трудовой договор. Так, не требуется согласие на обработку персональных данных работника или соискателя, если они полученып. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона № 152-ФЗ; абз. 1 Разъяснений Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (далее — Разъяснения):

из документов, предъявляемых при заключении трудового договора (паспорт, трудовая книжка, свидетельство пенсионного страхования, документы воинского учета, документы об образовании);

по результатам обязательного предварительного медицинского осмотра, удостоверяющего состояние здоровьяст. 69 ТК РФ; п. 3 Разъяснений;

от кадрового агентства, действующего от имени соискателяабз. 12 п. 5 Разъяснений;

из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лицп. 10 ч. 1 ст. 6 Закона № 152-ФЗ; абз. 12 п. 5 Разъяснений;

при обработке персональных данных близких родственников в объеме, предусмотренном унифицированной формой № Т-2утв. Постановлением Госкомстата от 05.01.2004 № 1, либо в случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат)п. 2 Разъяснений.

Внимание

За обработку персональных данных работника без его письменного согласия организацию могут оштрафовать на сумму от 15 000 до 75 000 руб., а ее руководителя — от 10 000 до 20 000 руб.ч. 2 ст. 13.11 КоАП РФ

Но потребуется письменное согласие:

для получения ПД работника у третьей сторонып. 3 ст. 86 ТК РФ;

для передачи ПД работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях, например для целей исполнительного производства, персонифицированного учета или расследования преступленийабз. 2 ст. 88 ТК РФ; п. 4 ч. 1 ст. 13 Закона от 07.02.2011 № 3-ФЗ; п. 2 ч. 1 ст. 64 Закона от 02.10.2007 № 229-ФЗ; ст. 9 Закона от 01.04.96 № 27-ФЗ;

для обработки специальных категорий ПД работника. К таким данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизнип. 4 ст. 86 ТК РФ; п. 1 ч. 2 ст. 10 Закона № 152-ФЗ.

А в принципе, имеет смысл всегда оформлять письменное согласие на обработку ПД, поскольку при возникновении спора именно работодатель должен доказать получение согласия работника на обработку его персональных данныхч. 3 ст. 9 Закона № 152-ФЗ.

Как оформить согласие на обработку персональных данных

Согласие работника на обработку персональных данных должно быть «конкретным, информированным и сознательным». Согласие, содержащее, например, формулировку «Согласен, чтобы компания обрабатывала все мои персональные данные до окончания трудового договора», таким требованиям соответствовать не будет. А это значит, что согласие вы не получили.

Согласие должно быть оформлено на конкретные действия с персональными данными. Правда, это не значит, что на каждую операцию с ПД нужно получать отдельный документ. В одном согласии можно предусмотреть сразу несколько действий с персональными даннымич. 1 ст. 9 Закона № 152-ФЗ.

Согласие должно содержать обязательные сведения. Если их не будет, организацию могут оштрафовать на сумму от 15 000 до 75 000 руб., а генерального директора — от 10 000 до 20 000 руб.ч. 2 ст. 13.11 КоАП РФ

В согласии на обработку ПД обязательно укажитеч. 4 ст. 9 Закона № 152-ФЗ:

ф. и. о., адрес работника;

реквизиты паспорта или иного документа, удостоверяющего его личность, в том числе сведения о дате выдачи документа и выдавшем его органе;

наименование и адрес вашей компании;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дает согласие работник;

перечень действий с персональными данными, на совершение которых работник дает согласие;

способы обработки персональных данных, которые вы используете.

Согласие на обработку персональных данных

Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл. в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ООО «Ватрушка», расположенному по адресу: г. Курск, ул. Черняховского, д. 12, на обработку в документальной и (или) электронной форме моих персональных данных для оформления информационного стенда.

Перечень моих персональных данных, на обработку которых я даю согласие:
— фамилия, имя, отчество;
— фотография;
— пол;
— образование, квалификация, повышение квалификации;
— трудовая деятельность в ООО «Ватрушка».

Настоящее согласие действует в течение всего срока трудового договора.В согласии на обработку персональных данных должен быть указан срок, в течение которого оно действуетп. 8 ч. 4 ст. 9 Закона № 152-ФЗ. Срок действия согласия можно обозначить цифрой, например 5 лет. Допустимо также указать, что согласие действует:
до расторжения трудового договора;
до момента, когда будет достигнута цель обработки;
до момента, пока сотрудник не отзовет согласие

Настоящее согласие может быть отозвано мной в письменной форме.Согласие также должно содержать условие о том, каким способом работник вправе его отозватьп. 8 ч. 4 ст. 9 Закона № 152-ФЗ

05.09.2018

П.В. Иванов

Согласие на обработку ПД работник должен подписать личноч. 4 ст. 9 Закона № 152-ФЗ

Как передать ПД работника третьему лицу

Работодатель не вправе передавать третьим лицам ПД работника без его согласияч. 1 ст. 88 ТК РФ; ст. 7 Закона № 152-ФЗ. Исключением являются ситуации, когда необходимо предупредить угрозу жизни и здоровью работника, а также в иных, прямо предусмотренных законом случаяхст. 88 ТК РФ. Например, не требуется согласие, чтобы обрабатывать ПД для целей налогового и бухгалтерского учета, воинского учета или в рамках персонифицированного учета для целей пенсионного страхованияпп. 2—11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ; абз. 6—10 п. 5 Разъяснений; ст. 9 Закона от 01.04.96 № 27-ФЗ; ст. 4 Закона от 28.03.98 № 53-ФЗ. Если же работник подал заявку на кредит или получение иностранной визы, подтвердить банку или визовому центру информацию о должности и о заработной плате работника вы можете только при наличии его письменного согласия.

Но передать в банк персональные данные работника для выплаты заработной платы в определенных случаях можно и без его разрешения. Это возможно, когдаабз. 11 п. 4 Разъяснений:

или договор на выпуск банковской карты был заключен банком напрямую с работником и в тексте есть положения, которые предусматривают передачу его данных;

или у работодателя есть доверенность и он вправе представлять интересы работника при заключении договора с банком;

или форма и система оплаты труда прописаны в коллективном договоре.

Из согласия работника должно четко следовать, кому будут переданы его персональные данные и с какой целью. Кроме того, необходимо предупредить лицо, получающее ПД работника, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и потребовать от него подтверждение того, что это правило соблюденоч. 1 ст. 88 ТК РФ.

Согласие на передачу персональных данных

Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл. в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ООО «Ватрушка», расположенному по адресу: г. Курск, ул. Черняховского, д. 12, на передачу в ПАО «Банк»: фамилии, имени, отчества; должности; размера заработной платы.

Цель передачи и обработки: получение кредита.

Срок действия согласия: две недели, следующие за днем получения кредита.

10.10.2018

П.В. Иванов

Как отозвать согласие на обработку ПД

Сотрудник вправе отозвать свое согласие на обработку персональных данных в любое времяч. 2 ст. 9 Закона № 152-ФЗ. Для этого он должен направить письменное заявление.

Отзыв согласия на обработку персональных данных

Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл. в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии с п. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» отзываю у ООО «Ватрушка», расположенного по адресу: г. Курск, ул. Черняховского, д. 12, согласие на обработку персональных данных для оформления информационного стенда от 05.09.2018.

Перечень моих персональных данных, обработку которых прошу прекратить:
— фамилия, имя, отчество;
— фотография;
— пол;
— образование, квалификация, повышение квалификации;
— трудовая деятельность в ООО «Ватрушка».

25.10.2018

П.В. Иванов

Однако, даже если работник отозвал свое согласие, организация вправе продолжать обрабатывать его персональные данные в установленных законом случаях. Например, для исполнения судебного акта, для налогового учета и отчетности, для исполнения трудового договорач. 2 ст. 9 Закона № 152-ФЗ.

Как получить персональные данные работника у третьей стороны

Если вы получаете персональные данные у третьей стороны, заранее уведомьте об этом работникап. 3 ст. 86 ТК РФ; п. 1 ч. 2 ст. 10 Закона № 152-ФЗ. В уведомлении сообщите сотруднику о целях, предполагаемых источниках и способах получения или передачи персональных данных. Также укажите характер персональных данных, которые предстоит получить.

Общество с ограниченной ответственностью «Ватрушка»

Уведомление о получении персональных данных у третьих лиц

Уведомляем Вас о том, что в связи с утратой Вашей трудовой книжки по вине ООО «Ватрушка» в целях сбора сведений о предыдущих местах работы и периодах трудовой деятельности ООО «Ватрушка» запросит эти персональные данные у ООО «Штрудель». Сведения будут запрошены в письменной форме посредством почтовой связи. Просим Вас дать согласие на получение персональных данных у третьих лиц.

Начальник отдела кадров

А.В. Синицина

С уведомлением ознакомлен

Инженер

П.В. Иванов

09.10.2018

* * *

В организации должен быть установлен конкретный перечень работников, которым разрешен доступ к персональным данным. Для этого подготовьте отдельный приказ, в котором укажите, какие именно ПД тот или иной специалист может использовать в своей работе. Также с этих работников нужно взять обязательство о неразглашении ПДч. 6 ст. 88 ТК РФ. Помимо этого, назначьте ответственного за работу с персональными данными. Он обязан знать положения законодательства, касающиеся персональных данных, и анализировать поступающую документациюст. 22.1 Закона № 152-ФЗ.

Понравилась ли вам статья?

  • Почему оценка снижена?
  • Есть ошибки

  • Слишком теоретическая статья, в работе бесполезна
  • Нет ответа по поставленные вопросы
  • Аргументы неубедительны
  • Ничего нового не нашел
  • Нужно больше примеров
  • Тема не актуальна
  • Статья появилась слишком поздно
  • Слишком много слов
  • Другое

Поставить оценку

Комментарии (0)

Оценивать статьи могут только подписчики журнала «Главная книга» или по демодоступу.

  • я подписчик электронного журнала

  • я не подписчик, но хочу им стать

  • хочу читать статьи бесплатно и попробовать все возможности подписчика

Другие статьи журнала по теме:

Документооборот / Первичные документы / ЭДО

Документооборот / Первичные документы / ЭДО

2023 г.

2022 г.

2021 г.

Источник

С каждым годом все чаще появляются сообщения об утечке персональных данных. Только в начале 2022 года Роскомнадзор сообщил о 40 инцидентах. Как правило, нападкам злоумышленников подвергаются крупные компании, которые не оказали меры по достаточной защите своих баз данных.Такие кражи и кибератаки наносят владельцам бизнесов непоправимые потери и вредят репутации.

Рассказываем, как организовать защиту персональных данных в организации и соблюсти все требования 152-ФЗ, чтобы не получить штраф.

Какие данные сотрудника считаются персональными?

Персональными данными считается любая информация, которая прямо или косвенно относится к работнику и позволяет его идентифицировать. Информация об этом содержится в статье 3 Федерального закона «О персональных данных», от 27.07.2006 № 152-ФЗ.

Стоит отметить, что hr-специалист имеет дело с персональными данными не только сотрудников, но и кандидатов на вакансии. Например, уже на этапе просмотра резюме, оформлении у охраны пропуска на собеседование или заключении трудового договора.

Что может считаться персональными данными?

В список входят место и дата рождения, ФИО сотрудника, место проживания, фото или видео, номер телефона, e-mail, паспортные данные, СНИЛС, ИНН, сведения о родственниках и семейном положении, индивидуальные личные данные, биометрические данные. Однако следует учитывать некоторые нюансы. Так, определенные данные могут и не быть персональными без связки с другой информацией. Например, номер телефона без указания фамилии, имени и отчества. Однако, если компания укажет на сайте только ФИО сотрудника, не указав при этом должность или дату рождения, Роскомнадзор все равно посчитает это персданными.

Как организовать защиту персональных данных в организации?

Работодатель выступает оператором персональных данных: в его обязательства входят сохранность конфиденциальной информации.

Чтобы организовать защиту пнд, необходимо:

1)  Начать с приказа о назначения ответственного за организацию обработки персданных.

Для этого может быть создана новая должность или дополнительные функции для действующего сотрудника. Также ему необходимо предоставить должностную инструкцию.

2)  Издать внутренние документы, которые определят действия работодателя в отношении обработки пнд, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных.

Исходя из ст. 87 ТК РФ, каждый работодатель обязан утвердить порядок хранения и использования персданных в Положении о персональных данных. В данном документе прописывают: Общие положения, Основные понятия, Состав персональных данных, Обработка персональных данных, Передача персональных данных (внутри организации и третьим лицам), Доступ к персональным данным, Ответственность за нарушения и т.д.

Кроме того, у работодателя должна быть Политика обработки персональных данных согласно ч. 2 ст. 18.1 Закона № 152-ФЗ.

3)  Проконтролировать, соответствует ли обработка пнд законам и локальным актам организации. Ответственное лицо должно контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты и т.п.

4)  Оценить вред, который может быть причинен сотрудникам при нарушении защиты пнд. Законодательно подобная оценка не закреплена, поэтому работодатель может осуществлять ее по собственному усмотрению.

5)  Применять организационные и технические меры по защите персональных данных. Они должны защищать пнд от неправомерного доступа, блокирования, изменения, копирования и многого другого. Подробнее о них мы поговорим в следующем пункте.

Чтобы не пропустить новые материалы «MDS Media», подписывайтесь на наш Телеграм-канал.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Среди мер защиты выделяют:

  • ограниченное число работников, которые имеют доступ к персданным;

  • принятие нормативных документов;

  • утверждение перечня документов, которые содержат пнд;

  • внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

  • проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

  • установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Как соблюсти все требования Закона № 152-ФЗ и не получить штраф?

1.  Согласно новым правилам, с 1 сентября 2022 года работодатели обязаны сообщать Роскомнадзору об обработке персональных данных работников. Причем сделать это необходимо еще до получения первого резюме и приема сотрудников.

Таким образом, работодателя внесут в реестр как оператора персональных данных. Форму уведомление можно найти на сайте Роскомнадзора.

2.  Не забывать получать разрешение у сотрудников на сбор и обработку данных.

3.  Следует помнить о том, что собирать и хранить пнд можно только для достижения определенных целей и на определенный срок. После  достижения целей сбора или истечению срока по заявлению работников уничтожать.

4.  Вовремя отвечать на обращения субъектов и предоставлять им всю информацию.

 5.  Хранить и защищать персональные данные по закону и правовым актам. Кроме того, обеспечивать их сохранность, тайну и точность данных, не передавая третьим лицам. Если же передача необходима, то обязательно документальное подтверждение и только аттестованным.

Узнать подробнее, как защитить персональные данные, изучить особенности их сбора, хранения и обработки вы можете на онлайн курсе «Защита персональных данных». 

Источник

Положение о персональных данных работников — образец 2023 года вы найдете в этой статье — должно быть обязательно включено в структуру кадрового документооборота фирмы, имеющей наемных сотрудников. Каковы нюансы составления этого источника? Для чего нужно положение о работе с персональными данными работников? Рассмотрим ответы на эти и другие вопросы, а также приведем образец заполнения такого положения.

Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.

Что такое персональные данные

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в «КонсультантПлюс». Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото, например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Как составить согласие на обработку персональных данных, смотрите здесь.

См. также «Пропуск с фото может повлечь штраф за персональные данные».

Для чего нужно положение о работе с персональными данными

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников — посредством издания документов, определяющих политику предприятия в области персональных данных, локальных актов по вопросам обработки данных. При этом соответствующие документы и акты должны определять (для каждой цели обработки данных):

  • категории и перечни данных;
  • категории субъектов, в отношении которых осуществляется обработка персональных данных;
  • способы, сроки обработки, хранения данных;
  • порядок уничтожения данных при достижении целей осуществления их обработки либо при появлении иных законных оснований.

Документы и акты не могут включать норм, ограничивающих прав субъектов данных, так же, как и возлагающих на предприятие полномочия и обязанности, что не предусмотрены законом.

Отметим, что в действующих федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

ВАЖНО! С 1 сентября 2022 года у операторов персональных данных появилась новая обязанность — уведомление Роскомнадзора об установлении фактов неправомерной или случайной утечки персональных данных в течение 24 часов после инцидента (ч. 3.1 ст. 21 закона № 156-ФЗ в редакции, действующей с 01.09.2022).

Узнайте больше из специального материала о новых обязанностях операторов персональных данных.

Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты «КонсультантПлюс». Получите пробный доступ к системе и переходите в материал.

Положение о персональных данных работников: структура документа

Рассматриваемый документ содержит локальные нормы, определяющие:

  • цели и задачи фирмы при работе с персональными данными;
  • перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
  • описание операций с данными, практикуемых компанией;
  • способы доступа к данным, используемые в фирме;
  • обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
  • права сотрудников фирмы на приобретение санкционированного доступа к данным;
  • правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Персональные данные без штрафов

Время прохождения около 5 мин.


Пройти тест

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

  • устанавливающим общие положения документа;
  • фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
  • определяющим перечень ключевых операций с персональными данными;
  • регламентирующим осуществление соответствующих операций;
  • определяющим порядок доступа работников фирмы и иных лиц к данным;
  • устанавливающим обязанности сотрудников, участвующих в операциях с данными;
  • устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
  • определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Эксперты «КонсультантПлюс» подробно разъяснили специфику обработки персональных данных работников предприятия. Получите пробный доступ к публикации на данную тему бесплатно.

Где можно скачать образец положения об обработке персональных данных работников

Загрузить актуальный для 2023 года образец внутрикорпоративного положения об операциях с подобными данными вы можете на нашем портале, по ссылке ниже. Для вас доступен источник, соответствующий структуре, рассмотренной нами выше.

образец положения об обработке персональных данных работников

Скачать образец

Альтернативный бланк положения о персональных данных работников и образец его заполнения предоставили эксперты КонсультантПлюс. Вы можете скачать бланк и образец такого положения бесплатно по этой ссылке.

Итоги

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

  • «Воинский учет в организации — пошаговая инструкция»;
  • «Какой срок хранения документов в архиве организации».
Источник

Понравилась статья? Поделить с друзьями:
  • Инструкция по эксплуатации стенда развал схождения луч
  • Эспумизан экстра порошок инструкция по применению как разводить
  • Роутер tp link archer a5 инструкция по применению
  • Индивидуальное обучение сотрудника полиции осуществляется под руководством
  • Что понимают под типом руководство