Положение об обработке персональных данных 2021 образец

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Разъясняется терминология, используемая в тексте, цели обработки персданных, описывается общее значение корпоративного документа.

В локальном акте допустимо расписать права и обязанности:

• работодателя — оператора ПнД;
• работника — субъекта ПД.

По закону обработка ПД заканчивается выполнением целей. Они определяются заранее, регламентируются федеральными актами. В Положение об обработке ПД конкретной компании прописывают цели, характерные для ее деятельности.

Не указывайте цели, не характерные для вашей вашей компании. Чтобы правильно их определить:

• проанализируйте фактическую деятельность предприятия;
• изучите устав — там указаны основные направления работы;
• отследите бизнес-процессы в ИС подразделений и процедуры в отношении определенных категорий субъектов ПД.

Как ужесточились требования к работе с персональными данными в 2021 году

Это допуск должностных лиц внутри компании-оператора. Доступ к конфиденциальным данным разделяется на полный и ограниченный. При описании полного допуска указывают список должностей, допущенных к ПД без ограничений.

При определении ограничений, кроме перечисления должностей, описывают свойства конфиденциальных данных, к которым допущены сотрудники, перечисляют операции, производимые с ними и указывают конечные цели.

Пример перечня должностей и перечня документов с персональными данными

В Регламенте перечисляются учреждения, которым передаются личные данные — это внешний доступ к конфиденциальной информации. К числу допущенных к личным сведениям работников относят контрольные и надзорные ведомства, иные, установленные федеральными нормами:

• Инспекции труда;
• Прокуратура РФ;
• Правоохранительные органы;
• Налоговики;
• Военные комиссариаты;
• Отделы миграционного учета иностранных граждан;
• другие.

Включенные в положение об обработке персональных данных работников юрлица получают доступ, обусловленный спецификой деятельности, в порядке, установленном нормами РФ.

Укажите в локальном акте следующую информацию о юрлице с внешним допуском к ПД:

• название, месторасположение;
• цели передачи и объем переданных сведений;
• операции с ПнД;
• механизмы и правила обработки;
• требования к защите.

Пример реестра персональных данных и действий по их обработке

Ст. 5, п.5 No152-ФЗ посвящена:

• соразмерности объема и характера полученных данных объявленным целям;
• запрещению избыточности ПДн.

Об этом будет следующий раздел локального акта.

В Положении о защите персональных данных работников перечисляются все категории лиц, чья личная информация необходима в деятельности предприятия. Это действующие и бывшие сотрудники, родственники, претенденты на вакансию, контрагенты оператора (физлица, юрлица) или их представители.

Отдельно разъясняется обработка спецсведений (раса, национальность, политические взгляды, религия, здоровье) и биометрии, если она производится.

Здесь описываются применяемые меры сохранности и конфиденциальности ПнД. Эти мероприятия описаны в ст. 18.1 No152-ФЗ. Из перечисленных оператор сам выбирает важные и достаточные для исполнения обязанностей. Ст. 19 ФЗ регламентирует конкретный перечень шагов, обеспечивающий безопасность ПД во время обработки. Среди прочих:

• моделирование угроз безопасности персональных данных в информационных системах;
• выявление самовольного доступа к конфиденциальным сведениям и оперативное реагирование на инциденты.

Установлены уровни защищенности перс данных — постановление No1119. Одна из мер по защите персональных данных в организации для сохранности личных данных при их обработке в ИСПДн, — организационные и технические процедуры. Их наличие поддерживает уровни в состоянии, обозначенном правительством — п.3/1 ст.19 ФЗ и п. 8 -16 Постановления No 1119. Основные меры защиты:

• установление аутентичности субъектов и объектов доступа;
• наблюдение за допусками;
• защита носителей, хранящих / обрабатывающих ПД;
• наблюдение за событиями;
• обследование защищенности ПД;
• обеспечение невредимости ИС и информации;
• доступность ПД;
• защита технических ресурсов и др.

Полностью состав этих мер приводит Приказ ФСТЭК No 21.

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Согласие на обработку персональных данных, разрешенных их субъектом для распространения, должно содержать следующую информацию:

В завершение отметим, что как такого бланка Согласия на обработку персональных данных, разрешенных их субъектом для распространения, Роскомнадзор не приводит. Поэтому каждая организация (ИП, физлицо) формируют его на своё усмотрение, но с обязательным приведением перечисленных 9 реквизитов.

Это любая информация о физическом лице, позволяющая его определить. Закон перечисляет следующие пункты:

• ФИО;
• дата и место рождения;
• паспорт, СНИЛС, ИНН;
• адрес постоянной и временной регистрации;
• образование;
• телефон;
• электронный адрес;
• профили в социальных сетях и мессенджерах;
• идентифицирующие личность фотографии и видеоматериалы;
• семейное положение и состав семьи;
• судимости;
• размер доходов;
• профессиональные навыки;
• личностные характеристики;
• раса и национальность;
• взгляды в политике, религии, философии;
• сексуальная ориентация;
• здоровье;
• биометрия, ДНК, отпечатки пальцев, особые приметы.

Обработка персональных данных — любые действия с вышеперечисленными фактами, регламентируемые статьей 13.11 КоАП и редакциями от 07.02.2017 № 13-ФЗ и 30.12.2020 N 519-ФЗ. К ним относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Согласно новым требованиям субъект получил право ограничить оператора в использовании данных без указания причин (раньше требовались доказательства, что они приобретены незаконно, устарели, недействительны и прочее), и тот должен прекратить действия в течение трех рабочих дней, по истечении которых пользователь может обратиться в суд. Санкция — от 3 000 до 75 000 рублей. Оператор может только обрабатывать, но не распространять информацию. За каждое отдельное нарушение взимается отдельный штраф. Срок ответственности увеличивается до одного года.

С 27 марта 2021 операторы не получают в качестве санкций предупреждения — они упразднены. Теперь нарушителей сразу штрафуют. Суммы — от 6 000 до 150 рублей; при повторном инциденте, который теперь считается самостоятельным составом нарушения, цифры повысятся до 300-500 тысяч.

Появляется новое основание, за несоблюдение которого могут оштрафовать (раньше за это не наказывали рублем). Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа:

• на граждан — в размере от 10 до 20 тысяч рублей;
• на должностных лиц — от 40 до 100 тысяч рублей;
• на индивидуальных предпринимателей — от 100 до 300 тысяч рублей;
• на юридических лиц — от 300 до 500 тысяч рублей.

Организация, физическое или юрлицо, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия владельца ПДн, если это не предусмотрено федеральным законом.

Любая передача ПДн (распространение, предоставление, доступ) является незаконной без согласия владельца ПДн и является нарушением конфиденциальности его ПДн.

Если ПДн сотрудников были переданы без их письменного согласия, то во-первых, это противозаконно, а во-вторых, за подобные действия будут штрафовать.

Вот типовые ситуации, которые будут подпадать под данную статью:

1. Передача ПДн работников третьим лицам:

• в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств;
• в охранное предприятие в целях взаимодействия и реагирования;
• в медицинские организации в целях проведения медицинских осмотров;
• в страховые компании по договорам добровольного медицинского страхования;
• в образовательные организации в объеме превышающем требования закона об образовании;
• в целях организации командировок и участия в выставках;
• в других целях, напрямую не связанных с должностными обязанностями сотрудника.

2. Передача ПДн клиентов, представителей клиентов, поставщиков, партнеров третьим лицам в целях:

• организации мероприятий, маркетинговых акций, рекламы;
• размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках;
• сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет.

3. Получение ПДн без подтверждения наличия согласия от человека или иных законных оснований у передающей стороны.

4. Предоставление доступа к ПДН внутри организации сотрудникам без должного документального оформления (должностные обязанности и/или локальные нормативные акты).

Ответственность за не обезличивание персональных данных теперь несут не только государственные и муниципальные органы власти, но и все операторы.

По второму изменению в новом КоАП дело касается обезличивания ПДн. Проще говоря, если персональным данным (паспортным, медицинским, контактным данным и т.п) будет присвоен идентификационный номер, то это обезличивает персональные данные, т.к. по одному номеру нельзя определить человека.

В новом КоАП предполагается распространить ответственность за не обезличивание персональных данных с государственных и муниципальных органов власти на всех операторов. Все операторы будут обязаны обезличивать ПДн, которые обрабатывают.

Невыполнение подобных требований влечет предупреждение или наложение административного штрафа для всех операторов ПДн в размере от 3 до 6 тысяч рублей. Штрафы небольшие, но можно предположить, что это только начало.

Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2021 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства.

Проводить ее необходимо не реже, чем раз в три года. Это установлено законом.

• Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
• Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
• Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
• Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
• Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
• Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
• Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
• Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
• Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
• Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
• Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.

Положение о персональных данных работников – образец 2021 года вы найдете в этой статье. Какой текст положения с учетом всех требований законодательства? Приведем пример.

Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого.

Далее приведем возможный текст положения о защите персональных данных в 2021 году:

Общество с ограниченной ответственностью «Стелла»

(ООО Стелла»)

__________ А.С. Пушкин

9 июля 2021 года

ПОЛОЖЕНИЕ

О работе с персональными данными работников

9 июля 2021 года Москва

1. Общие положения

1.1. Положение о работе с персональными данными работников ООО «Стелла» разработано в соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-правовыми актами, действующими на территории РФ.

1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.

1.3. Настоящее Положение вступает в силу с 9 июля 2018 года.

2. Получение и обработка персональных данных работников

2.1. Персональные данные работника работодатель получает непосредственно от работника.
Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.

2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:
– пол;
– дату рождения;
– семейное положение;
– отношение к воинской обязанности;
– местожительство и домашний телефон;
– образование, специальность;
– предыдущее(ие) место(а) работы;
– иные сведения, с которыми работник считает нужным ознакомить работодателя.

2.3. Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и о его частной жизни.

2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.

2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.

2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.

3. Хранение персональных данных работников

3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, которая относится к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер организации.

3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.

3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.

3.4. Изменение паролей заместителем руководителя организации происходит не реже одного раза в два месяца.

3.5. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание. Для обезличивания персональных данных применяется метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.

3.6. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.

3.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.

4. Использование персональных данных работников

4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций.

4.2. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера зарплаты. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.

Различного рода информация, которая относится к определенному физическому лицу, является его персональными данными. Соответственно, такое физическое лицо именуется субъектом персональных данных (п. 1 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ ). К субъектам персональных данных относятся в том числе и работники.

Работодатель, в свою очередь, занимается обработкой персональных данных своих работников, т. е. производит сбор данных, их систематизацию, хранение, обновление, передачу, удаление и т.д. Это, к примеру, паспортные данные работников, сведения об адресе их проживания, информация об образовании или стаже работников, о заработной плате или семейном положении, о деловых качествах и даже увлечениях работников и т.д.

Обрабатывая персональные данные своих работников, работодатель должен гарантировать, что при этом не нарушаются их права и свободы. В частности, право на неприкосновенность частной жизни, личную и семейную тайну. Иными словами, работодатель должен обеспечивать надежную защиту персональных данных.

С целью обеспечения выполнения требований к порядку обработки персональных данных работников и защите этих сведений работодатель может разработать и утвердить Положение о работе с персональными данными работников. Оно также может именоваться, например, Положением об обработке персональных данных работников, Положением о защите персональных данных или даже Положением о персональных данных работников.

Работодатель должен внимательно подходить к разработке такого Положения, а в дальнейшем четко следовать указанному в нем порядку, ведь нарушение им законодательства о персональных данных чревато штрафами.

Так, например, обработка персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, может повлечь наложение штрафа на должностных лиц работодателя в размере от 5 000 до 10 000 рублей, а на работодателя-организацию – от 30 000 до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ ).

Хотя необходимо иметь в виду, что Положение о персональных данных обязательно и для работников. Работник может быть даже уволен за разглашение персональных данных другого работника, ставших известными ему при исполнении своих трудовых обязанностей (пп. «в» п. 6 ст. 81 ТК РФ).

Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Как составить согласие на обработку персональных данных, смотрите в здесь.

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников. Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

Какая статья КоАП РФ предусматривает штраф за нарушения при обработке персональных данных, узнайте по ссылке.

Положение о персональных данных работников в 2021 году — образец

Рассматриваемый документ содержит локальные нормы, определяющие:

• цели и задачи фирмы при работе с персональными данными;
• перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
• описание операций с данными, практикуемых компанией;
• способы доступа к данным, используемые в фирме;
• обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
• права сотрудников фирмы на приобретение санкционированного доступа к данным;
• правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

• устанавливающим общие положения документа;
• фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
• определяющим перечень ключевых операций с персональными данными;
• регламентирующим осуществление соответствующих операций;
• определяющим порядок доступа работников фирмы и иных лиц к данным;
• устанавливающим обязанности сотрудников, участвующих в операциях с данными;
• устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
• определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

Работа с персональными данными работников регулируется внутренним документом организации – соответствующим Положением. Обязательность его наличия обусловлено требованием ст. 87 ТК .

Все действия, связанные с получением, обработкой, изменением и т.д. данных индивидуального характера, подчиняются нормативам Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Закон).

Пункт 2 часть 1 статья 18.1 Закона дает понятие персональным данным (далее ПД), к которым относят любую информацию, касающуюся субъекта прямо или косвенно, позволяющего идентифицировать его. Если говорит о работнике, как субъекте ПД, то работодатель использует следующие параметры:

• фамилия, имя и отчество;
• информация о рождении: место и дата;
• данные паспорта;
• ИНН;
• СНИЛС;
• адрес по прописке и фактического проживания;
• сведения об образовании;
• информация о стаже работы.

Все данные заносятся в личное дело сотрудника и пополняются в течение трудовой деятельности иной информацией персонального характера. Для организации работы, работодатель должен разработать Положение, в котором закрепить порядок и правила получения, хранения, использования полученных ПД работников.

Согласно положений Закона № 152-ФЗ, работодатель при приеме граждан на работу становится оператором обработки их личных данных. Это значит, что он берет на себя ответственность по сбору, хранению, обработке и иных действий в отношении получаемых сведений и вправе осуществлять их при помощи средств автоматизации или без них.

Работодатель обязан хранить личные дела своих сотрудников в соответствии со ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ и затем передавать их на хранение в архив. Чтобы не допустить утечку персональных данных, должен быть применен комплексный подход к этой работе. Для чего необходимо составить и утвердить соответствующее Положение.

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Как составить согласие на обработку персональных данных, смотрите в здесь.

См. также «Пропуск с фото может повлечь штраф за персональные данные».

Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.

1. Запрещение предоставления данных любым третьим лицам или органам без наличия письменного согласия самого физического лица (исключение – угроза жизни и/или здоровью).
2. Запрет на коммерческое использование полученных данных.
3. При передаче четко регламентировать цель сообщения сведений и предупредить о ней получающее лицо.
4. То или иное лицо, которому разрешено использовать персональные данные, может это делать только в объеме должностной инструкции.
5. Отклонение от установленного порядка предусматривает серьезную ответственность виновного лица.

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников. Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты КонсультантПлюс. Получите пробный доступ к системе и переходите в материал.

Какая статья КоАП РФ предусматривает штраф за нарушения при обработке персональных данных, узнайте по ссылке.

Похожие записи:

• Перевод на период декретного отпуска основного работника
• Договор подряда с физическим лицом какие налоги платить в 2021
• Регистрация граждан РФ в Казахстане 2021