Как составить положение о защите персональных данных

Пособия

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как составить положение о защите персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Содержание
1. Как составить положение о защите персональных данных
2. Разработка положения о персональных данных работников
3. Политика обработки персональных данных в локальных актах организации
3.1. Административная ответственность: штрафы
4. Положение о персональных данных работников — образец 2021 года
5. Положение о персональных данных работников — образец
6. Персональные данные работников: как работодателю не нарушить закон
7. Меры по защите персональных данных сотрудников
8. Положение о персональных данных клиентов
9. Приказ об утверждении положения о персональных данных

Работодатели массово стали получать письма из Роскомнадзора с предупреждением о том, что при проверке компании могут получить серьезные штрафы за нарушение норм закона от 27.07.2006 № 152-ФЗ (далее — Закон). По нему работодатель обязан гарантировать защиту такой информации от противоправного доступа и использования третьими лицами. Положение о работе с персональными данными работников помогает решить эти задачи.

С 23 февраля 2020 года вступило в силу Постановление Правительства от 13.02.2019 № 146, которым утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Согласно документу, плановые проверки будут проводиться раз в 2-3 года, а перечень компаний, подлежащих контролю можно будет заранее увидеть на сайте Роскомнадзора. Как и в случае с другими видами контроля, о запланированном визите инспекторы должны будут предупредить. Если плановая проверка, то известить о ней должны за 3 рабочих дня, а если внеплановая — за 24 часа.

За нарушение Закона предусмотрена дисциплинарная, материальная, административная и уголовная ответственность. Контролирующие органы могут привлечь к административной ответственности по ст. 13.11 и 13.14 КоАП, штрафы составляют:

  • для должностных лиц: от 500 до 1000 рублей;
  • для организации: от 5000 до 10 000 рублей;
  • для должностных лиц, в связи с исполнением служебных или профессиональных обязанностей: от 4000 до 5000 рублей.

Наиболее распространенными нарушениями, по данным инспекторов, являются обработка персоданных без согласия их владельца либо с нарушениями, невыполнение требования об уничтожении личной информации, нарушение условий хранения таких сведений.

Как составить положение о защите персональных данных

Это любая информация, необходимая работодателю при установлении трудовых отношений, которая касается сотрудника. Например, фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Примерами документов, включающих личные данные, могут служить:

  • карточка сотрудника, содержащая Ф.И.О. лица, сведения о составе семьи, образовании;
  • трудовая книжка со стажем с предшествующих мест работы;
  • дипломы, сертификаты об образовании;
  • трудовой договор.

Запрещено получать и обрабатывать данные, которые не относятся напрямую к трудовой деятельности. К примеру, сведения о вероисповедании, национальной, политической принадлежности. Данная информация получается исключительно от самих сотрудников. Эти условия должны быть включены в положение об обработке и защите персональных данных. Работодатели обязаны уведомить работника и получить от него письменное согласие на обработку, хранение, использование и распространение его данных.

Личные данные сотрудников содержатся в их личных карточках и личных делах. Законодательство обязывает каждое конкретное предприятие разрабатывать правила использования и хранения данных о своих работниках.

Положение о защите персональных данных может быть как отдельным документом, так и разделом, включенным в действующие Правила внутреннего трудового распорядка.

Чтобы сохранить конфиденциальность информации о людях, работающих в организации, составляется список должностных лиц, имеющих к ней доступ. Приказом назначается ответственный за сбор, хранение и обработку конфиденциальных данных. Работники, руководители, генеральный директор предприятия подписывают Соглашение о неразглашении.

Информация о персональных данных сотрудников на предприятии может храниться как в бумажном, так и в электронном виде. В наше время такая информация чаще всего хранится смешанным способом.

Разъясняется терминология, используемая в тексте, цели обработки персданных, описывается общее значение корпоративного документа.

В локальном акте допустимо расписать права и обязанности:

  • работодателя — оператора ПнД;
  • работника — субъекта ПД.

По закону обработка ПД заканчивается выполнением целей. Они определяются заранее, регламентируются федеральными актами. В Положение об обработке ПД конкретной компании прописывают цели, характерные для ее деятельности.

Пример

  • обработка ПнД в ИСПДн;
  • использование ПД при оформлении бланков документов;
  • передача ПД в госструктуры (ФСС, ПФР, ФНС), в третьи организации (банки, страховщики, отели);
  • принятие решения в отношении соискателя и т.д.

Не указывайте цели, не характерные для вашей вашей компании. Чтобы правильно их определить:

  • проанализируйте фактическую деятельность предприятия;
  • изучите устав — там указаны основные направления работы;
  • отследите бизнес-процессы в ИС подразделений и процедуры в отношении определенных категорий субъектов ПД.

Вы указали в локальном акте все используемые термины, определили цели. Теперь в Положении о защите персональных данных работников закрепите перечень должностей с допуском к ПнД. Это требует ст. 86 ТК РФ и 152-ФЗ.

Разработка положения о персональных данных работников

Это допуск должностных лиц внутри компании-оператора. Доступ к конфиденциальным данным разделяется на полный и ограниченный. При описании полного допуска указывают список должностей, допущенных к ПД без ограничений.

При определении ограничений, кроме перечисления должностей, описывают свойства конфиденциальных данных, к которым допущены сотрудники, перечисляют операции, производимые с ними и указывают конечные цели.

Пример перечня должностей и перечня документов с персональными данными

В Регламенте перечисляются учреждения, которым передаются личные данные — это внешний доступ к конфиденциальной информации. К числу допущенных к личным сведениям работников относят контрольные и надзорные ведомства, иные, установленные федеральными нормами:

  • Инспекции труда;
  • Прокуратура РФ;
  • Правоохранительные органы;
  • Налоговики;
  • Военные комиссариаты;
  • Отделы миграционного учета иностранных граждан;
  • другие.

Включенные в положение об обработке персональных данных работников юрлица получают доступ, обусловленный спецификой деятельности, в порядке, установленном нормами РФ.

Укажите в локальном акте следующую информацию о юрлице с внешним допуском к ПД:

  • название, месторасположение;
  • цели передачи и объем переданных сведений;
  • операции с ПнД;
  • механизмы и правила обработки;
  • требования к защите.

Совет

Мы рекомендуем в Регламенте о ПД указывать обстоятельства, при которых возможно предоставление конфиденциальных сведений контрагенту.

Пример

Условия передачи персональных данных третьим лицам (в том числе, находящимся не в России — трансграничной) для достижения целей обработки ПД — наличие в соглашении пунктов, регулирующих обработку ПД.

Пример реестра персональных данных и действий по их обработке

Ст. 5, п.5 No152-ФЗ посвящена:

  • соразмерности объема и характера полученных данных объявленным целям;
  • запрещению избыточности ПДн.

Об этом будет следующий раздел локального акта.

Пример

Если объявленная цель обработки ПД — подписание договора с физлицом Ивановым И.И. на поставку товара, то персональные сведения, соответствующие этой цели — ФИО, банковские реквизиты паспорт, ИНН, телефоны, адрес. Избыточной будет информация о семье и имущественном положении.

Важно!

Именно цель определяет объем ПД. Если ваша организация предложит Иванову И.И. дополнительную социальную поддержку (полис ДМС) — это другая цель, она потребует иное количество ПД.

В Положении о защите персональных данных работников перечисляются все категории лиц, чья личная информация необходима в деятельности предприятия. Это действующие и бывшие сотрудники, родственники, претенденты на вакансию, контрагенты оператора (физлица, юрлица) или их представители.

Совет

Параллельно с перечислением целей рекомендуем дать перечень обрабатываемых перс данных применительно к указанным категориям субъектов.

Отдельно разъясняется обработка спецсведений (раса, национальность, политические взгляды, религия, здоровье) и биометрии, если она производится.

Здесь описываются применяемые меры сохранности и конфиденциальности ПнД. Эти мероприятия описаны в ст. 18.1 No152-ФЗ. Из перечисленных оператор сам выбирает важные и достаточные для исполнения обязанностей. Ст. 19 ФЗ регламентирует конкретный перечень шагов, обеспечивающий безопасность ПД во время обработки. Среди прочих:

  • моделирование угроз безопасности персональных данных в информационных системах;
  • выявление самовольного доступа к конфиденциальным сведениям и оперативное реагирование на инциденты.

Установлены уровни защищенности перс данных — постановление No1119. Одна из мер по защите персональных данных в организации для сохранности личных данных при их обработке в ИСПДн, — организационные и технические процедуры. Их наличие поддерживает уровни в состоянии, обозначенном правительством — п.3/1 ст.19 ФЗ и п. 8 -16 Постановления No 1119. Основные меры защиты:

  • установление аутентичности субъектов и объектов доступа;
  • наблюдение за допусками;
  • защита носителей, хранящих / обрабатывающих ПД;
  • наблюдение за событиями;
  • обследование защищенности ПД;
  • обеспечение невредимости ИС и информации;
  • доступность ПД;
  • защита технических ресурсов и др.

Полностью состав этих мер приводит Приказ ФСТЭК No 21.

Политика обработки персональных данных в локальных актах организации

Рассматриваемый документ содержит локальные нормы, определяющие:

  • цели и задачи фирмы при работе с персональными данными;
  • перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
  • описание операций с данными, практикуемых компанией;
  • способы доступа к данным, используемые в фирме;
  • обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
  • права сотрудников фирмы на приобретение санкционированного доступа к данным;
  • правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

  • устанавливающим общие положения документа;
  • фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
  • определяющим перечень ключевых операций с персональными данными;
  • регламентирующим осуществление соответствующих операций;
  • определяющим порядок доступа работников фирмы и иных лиц к данным;
  • устанавливающим обязанности сотрудников, участвующих в операциях с данными;
  • устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
  • определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

  • «Воинский учет в организации — пошаговая инструкция»;
  • «Какой срок хранения документов в архиве организации?».

Источники:

  • Федеральный закон от 27.07.2006 № 152-ФЗ
  • Трудовой кодекс РФ

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Положение о персональных данных работников — образец 2021 года

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других — прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).

В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости. В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.

А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

Другой документ, где дается характеристика персональным данным, — это ФЗ № 152 «О персональных данных». В нем указывается, что персональные данные — это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных). Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.

Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты — физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие
организации, любым лицам, то и оно — оператор.

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора и указать цель обработки персональных данных.

Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.

Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством. Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.

При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства. В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

  • утверждение требований к помещению, где хранятся персональные данные.

Следует иметь в виду, что законодательством они не установлены. Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.

В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

  • обеспечение программной защиты информационной системы организации.

При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).

Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

  • ведение журнала учета работы с персональными данными.

В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам. В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

Положение о персональных данных работников — образец

Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

Так, Девятый арбитражный апелляционный суд в своем постановлении от 25.06.09 г. по делу № А40-76345/08-122-112 указал, что сотрудник службы судебных приставов не имеет права запрашивать и получать сведения, содержащие личные данные граждан. В частности, суд отметил, что ни Федеральный закон от 21.07.1997 № 118-ФЗ «О судебных приставах», ни Федеральный закон от 02.01.2007 № 229-ФЗ «Об исполнительном производстве» не предоставляют судебным приставам-исполнителям права получать персональные данные без согласия их субъектов, не устанавливают условия получения таких данных, не определяют круг субъектов, персональные данные которых подлежат обработке, а также полномочия судебного приставаисполнителя по их обработке.

Если ваша компания осуществляет передачу персональных данных в другую страну, то возникает проблема защиты персональных данных при их трансграничных перемещениях.

Что такое трансграничная передача данных? Это передача персональных данных оператором через государственную границу Российской Федерации органу власти, физическому или юридическому лицу иностранного государства. В Российской Федерации одним из критериев оценки государства с точки зрения организации им адекватного уровня защиты может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., ETS № 108.

До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов персональных данных.

Камнем преткновения является формулировка «адекватная защита», так как критерии адекватности нигде не определяются, при этом здравый смысл подсказывает, что адекватной можно считать защиту, которая соответствует российскому законодательству.

Присоединение иностранного государства к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 1981 г.; с изменениями 1999 г.) позволяет причислять его к числу тех, кто гарантирует вполне адекватную защиту.

Для обоснования адекватности защиты персональных данных при передаче их в зарубежный филиал компании необходимо реализовать ряд мероприятий, включая разработку документа (или нескольких), который отражает следующие основные моменты:

  • общие положения (организационная структура компании; страна (страны), в которую передаются персональные данные; цель передачи и обработки персональных данных за границей);
  • правовое обоснование трансграничной передачи персональных данных (перечень нормативно-правовых документов, на основаникоторых осуществляется передача и обработка персональных данных);
  • описание объекта защиты;
  • характеристики передаваемых персональных данных (категории персональных данных, отправляемых за границу; категории субъектов персональных данных; способы обработки данных: автоматизированная, неавтоматизированная, смешанная);
  • регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание информационных систем персональных данных, из которых они передаются, а также ИСПДн, куда они передаются, перечисление каналов передачи данных, стандартов и протоколов передачи данных и т. д.). Описание мероприятий и средств обеспечения защиты передаваемых данных (организационные меры; технические средства защиты информации, в том числе криптографические);
  • состав законодательства иностранного государства, отражающего вопросы защиты персональных данных;
  • заключительные положения (обязательства зарубежного филиала соблюдать законодательство по обработке персональных данных страны, в которой он находится; обеспечивать соответствующую защиту полученных и обрабатываемых персональных данных, заверенные подписью ответственных лиц головной организации и зарубежного филиала).

Эти мероприятия позволят минимизировать риски реализации угроз для персональных данных при их трансграничной передаче, повысить ответственность должностных лиц за соблюдением установленных норм информационной безопасности.

Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.

Согласно ФЗ-152, персональные данные должны быть уничтожены оператором по достижении цели их обработки. А, например, первичные документы по кадровому учету и заработной плате необходимо хранить в течение 75 лет. Но они должны находиться в архиве, а ФЗ-152 на архив не распространяется в соответствии с законом об архиве. Таким образом, после сдачи документов в архив организация уже не может хранить эти сведения у себя.

Что касается больничных листов, то это касается субъекта. К примеру, если работник уволился, заново никуда устроиться не успел и заболел, то больничный рассчитывается ему на основании дохода по последнему месту работы. А в организации в соответствии с налоговым законодательством обязаны хранить все финансовые документы за пять прошедших лет для налоговой проверки.

Причем отсчет срока хранения ведется от начала нового финансового года или даты передачи дела в архив, а это тоже обычно происходит в конце года. И кстати, до пяти лет допускается хранение документов в организации, без передачи их в архив.

Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Итак, постановление Правительства РФ 2007 г. № 781 утратило силу. В новом постановлении № 1119 объединены два проекта, один из которых определяет уровни защищенности информации, содержащей персональные данные, а второй — требования к их безопасности.

По сути дела, мало что изменилось. Та же оценка соответствия, тот же непонятный электронный журнал, те же требования об утверждении списка допущенных лиц, установлении режима безопасности в помещениях, та же отсылка к нормативным документам ФСТЭК и ФСБ. Постановление определяет, что набор средств защиты оператор должен выбирать самостоятельно, основываясь на ранее принятых нормативных актах ФСБ и ФСТЭК.

Согласно документу, актуальными угрозами для безопасности персональных данных являются условия и факторы, создающие потенциаль-ную опасность несанкционированного доступа к базам данных при их обработке, в результате которого данные могут быть уничтожены, изменены, заблокированы или предоставлены третьим лицам, не имеющим к ним права доступа. Кроме того, в постановлении определены три типа угроз информационным системам, содержащим пользовательские базы данных, а также четыре уровня защищенности информационных систем.

Пункт 13 постановления № 1119 требует, чтобы в помещениях, где производится обработка персональных данных, был обеспечен режим безопасности в соответствии с 4-м (минимальным) уровнем защищенности. При выполнении этой нормы документа становится практически невозможным использование мобильных устройств для обработки персональных данных за пределами помещения, где обеспечен режим безопасности. Следовательно, применение сотрудниками ГИБДД, таможенниками или врачами планшетов и смартфонов за пределами своих офисов оказывается также неправомерным.

Теперь подробной классификации угроз нет, поэтому проводим их оценку самостоятельно и устанавливаем соответствующий уровень защищенности в целях их нейтрализации. Для обеспечения нужного уровня защищенности необходимо реализовать ряд организационных и технических мероприятий по выбору средств защиты информации, причем сделать это надо, ориентируясь на документы ФСБ и ФСТЭК.

Есть ли какие-либо ограничения по применению средств защиты для различных уровней защищенности? Данный вопрос не раскрыт ни в ФЗ-152, ни в постановлении Правительства РФ № 1119.

Все действия с персональными данными относятся к их обработке: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача, обезличивание, блокирование, уничтожение и т.д.

Любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц, считаются распространением персональных данных и требуют наличия согласия.

Ответственность предусмотрена ст. 13.11 п. 2, 2.1 КоАП РФ. В случае если порядок получения согласия нарушен, его форма неверная или в ней отсутствуют частично обязательные условия, грозит увеличенный штраф:

  • для должностных лиц — от 20 000 до 40 000 руб.
  • для юридических лиц — от 30 000 до 150 000 руб.

За повторное нарушение ввели новые штрафы:

  • для должностных лиц — от 40 000 до 100 000 руб.
  • для индивидуальных предпринимателей — от 100 000 до 300 000 руб.
  • для юридических лиц — от 300 000 до 500 000 руб.

Персональные данные работников: как работодателю не нарушить закон

Любой аудит начинается с определения перечня документов, которые будут подлежать проверке.

  • В обязательном порядке необходимо проверить не только правильность оформления документов, но и каким образом выстроены процессы и процедуры при осуществлении обработки персональных данных.
  • При приеме на работу необходимо получить от работника согласие на обработку тех его персональных данных, которые работодатель собирается обрабатывать в деловых целях, а не для исполнения требований норм действующего законодательства.

Пример: для создания адреса электронной почты, оформления визиток, поздравления с днем рождения, указания в графике работ и т.д. (ст. 6 и 9 Федерального закона № 152-ФЗ).

  • Если работодатель будет распространять персональные данные работника, то ему необходимо получить на это отдельное согласие от работника (ст. 10.1 Федерального закона № 152-ФЗ).
  • Еще одно согласие в обязательном порядке работодатель как оператор персональных данных должен получить до начала трудовых отношений, когда работник имеет статус соискателя и его данные обрабатываются в других целях, нежели при трудоустройстве.

У согласий, которые предоставляет работник на обработку персональных данных, безусловно, есть срок действия. Его определяет сам работник — это является одним из обязательных условий в соответствии с требованиями п. 4 ст. 9 Федерального закона № 152-ФЗ.

Внимание: от корректности указанного работником срока действия согласия зависит возможность обработки оператором его персональных данных. Не рекомендуется устанавливать срок на период действия трудовых отношений, так как после увольнения работника вы обязаны будете прекратить обработку его данных, указанных в согласии, и уничтожить персональные данные в установленные законом сроки — в течение 30 дней.

На указание срока влияют цели обработки и перечень осуществляемых действий с персональными данными.

Рекомендация: при подписании согласия разъясните работнику, для чего указан срок обработки персональных данных и почему он такой. Как правило, на практике операторы сами указывают срок в форме согласия, а субъекты подписывают его и вопросов не возникает. Но следует помнить, что субъект может при подписании согласия изменить срок как на больший, так и на меньший, ведь это его законное право. Оптимально — договориться с работником и указать срок, удобный обеим сторонам. Плюс работодателю будет удобно учесть требования архивного законодательства. Например, прописать срок 75 лет.

Предоставлять персональные данные субъекта сторонним организациям без его согласия можно, если эти случаи предусмотрены законом. Например, идет судебный процесс и суд делает соответствующий запрос по работнику — работодатель может сообщить сведения, получать согласие у работника он не обязан.

На практике может случиться, что в организацию поступает звонок от потенциального работодателя или из банка с вопросами о работнике. Такой запрос не предусмотрен нормами действующего законодательства. Работодатель не имеет права раскрывать данные работника третьим лицам без его согласия, которое должно быть получено с соблюдением требований ст. 9 Федерального закона № 152-ФЗ.

Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.

Меры по защите персональных данных сотрудников

1.1. Под персональными данными (ПДн) следует понимать какую-либо информацию, имеющую прямое отношение к установленному или определяемому с помощью этой информации лицу, включающую ФИО, данные о рождении, семейном положении, социальном статусе, имущественном состоянии, полученном образовательном уровне, профессии, получаемых заработках и прочие сведения.

1.2. Обработка ПДн – это операции с такой информацией по сбору, систематизации, накоплению, хранению, уточнению, внесению изменений, применению, передаче, обезличиванию, удалению, блокированию.

1.3. Конфиденциальность – строгое соблюдение работником, владеющим доступом к ПДн, требований не распространять их без получения разрешения субъекта этой информации или его законных представителей.

1.4. Распространение ПДн – операции по передаче этой информации определенным лицам, предоставлению сведений для ознакомления большому числу лиц (обнародование в средствах массовой информации, на телевидении, другим способом).

1.5. Применение ПДн – операции, выполняемые с использованием этой информации для принятия конкретных решений или с иной целью, в результате чего возникают последствия юридического характера, касающиеся носителей ПДн или иным способом касающиеся прав, свобод граждан.

1.6. Блокирование ПДн – временная приостановка сбора, выполнения любых действий с личной информацией клиентов, включая ее передачу.

1.7. Уничтожение ПДн – операции, после выполнения которых нельзя восстановить эти сведения в информсистеме персональной информации или в результате их выполнения происходит уничтожение физических носителей ПДн.

1.8. Обезличивание ПДн – операции, после выполнения которых необходимо использовать дополнительную информацию для установления принадлежности личных сведений конкретному гражданину.

1.9. Общедоступные ПДн – сведения личного характера, которые доступны неограниченному количеству людей, и для ознакомления с этой информацией получено разрешение их владельца, или получение такого согласия не требуется на основании норм федерального законодательства.

1.10. Клиент – физлицо, являющееся субъектом ПДн, потребитель услуг компании.

1.11. Оператор – госорган, орган муниципального значения, ЮЛ, ФЛ, занимающиеся самостоятельной или совместной обработкой личных сведений клиентов, устанавливающие цели, для которых они обрабатываются, действия, совершаемые с ПДн. Компания считается Оператором в соответствии с этим документом.

2.1. Положение создано с учетом требований Конституции РФ, ГК РФ, федерального законодательства.

2.2. Целями обрабатывания ПДн являются:

установление процедуры обработки личных сведений каждого Клиента Компании, чьи данные необходимо обрабатывать;

защита прав, свобод человека во время выполнения операций с его ПДн, определение ответственности работников Компании, владеющих доступом к ПДн, в случае невыполнения ими законодательства по обработке и защите ПДн.

2.3. Введение в действие этого документа

2.3.1. Нормы этого Положения начинают действовать с даты его утверждения Директором компании на бессрочный период. Все изменения, вносимые в этот документ, утверждаются приказом Владельца Компании.

3.1. ПДн состоят из:

  • ФИО Клиента;
  • полной даты рождения;
  • электронной почты;
  • телефонного номера.

3.2. Компания наделена правом создания, сбора, хранения таких данных, также и на электронных носителях, в которых содержатся сведения о Клиенте, касающиеся:

  • анкетной информации о Клиенте;
  • регистрационной заявки от физлица;
  • договора;
  • документов Клиента, подтверждающих его личность (в копиях), прочей документации, предоставляемой Клиентом, в которых указаны его ПДн;
  • сведений об уплате предоставленных товаров, услуг с реквизитами, принадлежащими Клиенту;
  • адресной информации для доставки заказа в соответствии с договором;
  • переписки в электронном виде, записи ведения переговоров по телефону.

4.1. Цель выполнения всех действий с ПДн – реализация определенных задач, включая:

  • консультацию, информационную поддержку, предоставление услуг посредничества;
  • прочие сделки, выполняемые в законном порядке, комплексные операции с ПДн, которые необходимо выполнять для реализации указанных в договоре сделок;
  • выполнение законодательных требований.

4.2. Прекращение процедуры обработки ПДн должно состояться в случае ликвидации Компании или по заявлению Клиента.

Положение о персональных данных клиентов

6.1. ПДн Клиента блокируются, разблокируются на основании письменного заявления Клиента.

6.2. Обезличивание, уничтожение выполняются по заявлению Клиента, предоставленному в письменном виде, в случае полного предоставления услуг в пределах договора. Уничтожение ПДн является необратимой операцией и возможно по истечении 1 года после выполнения договорных обязательств.

7.1. Передача и хранение ПДн Клиента осуществляются с соблюдением требований:

  • запрет на сообщение ПДн Клиента в коммерческих целях;
  • запрет на передачу ПДн при отсутствии письменно выданного Клиентом согласия, кроме разрешенных законом случаев;
  • предупреждение получателей ПДн Клиента о неразглашении ими этих сведений и использовании для целей их получения. Компания должна требовать от получателей подтверждения соблюдения данного правила;
  • доступ к ПДн должен предоставляться только лицам, уполномоченным на получение, и исключительно для реализации конкретных функций.

Принимая на работу сотрудника, работодатель получает от него следующие данные личного характера:

  • Ф.И.О.;
  • адрес регистрации и места проживания;
  • серию и номер паспорта;
  • номер свидетельства ИНН;
  • СНИЛС;
  • о количестве детей, датах их рождения;
  • о семейном положении;
  • о предыдущей работе, сроках, причинах увольнения.

Согласно ст. 86-90 ТК РФ организация-работодатель должна придерживаться правил:

  • обработки личной информации сотрудников;
  • хранения и пользования данными;
  • передачи личных данных работников.

На основании ФЗ «О персональных данных» работникам предоставляется право требовать защиту сообщаемых работодателю сведений. Для обеспечения надлежащей работы с личными данными сотрудников каждая организация разрабатывает Положение о персональных данных работников. В этом документе устанавливаются:

  • какие сведения относятся к категории «персональных»;
  • кто имеет доступ к сведениям работников личного характера;
  • как осуществляется сохранность персональных данных (на каком носителе);
  • в каком порядке происходит обработка информации;
  • где фиксируются сведения о сотрудниках (оформляются ли личные дела, карточки, ведутся ли списки и т.д.);
  • на каких основаниях и кому могут передаваться данные о работнике;
  • как защищается доступ к данным (закодирована ли электронная информация, устанавливается ли сейф для материальных носителей);
  • порядок его утверждения и изменения.

Приложение может включать образцы заявлений работников:

  • о согласии с обработкой своих личных данных;
  • о согласии получения дополнительных сведений в отношении работника.

Типовой вариант такого документа по указанию руководства может быть разработан:

  • специалистом по кадрам;
  • юристом компании;
  • помощником руководителя.

Положение о персональных данных является принадлежащим к категории локальных актов предприятия. Его структура не должна противоречить действующему законодательству РФ.

При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:

  1. При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
    • до 70 тысяч рублей (для юридического лица);
    • до 5 тысяч рублей (для ИП).

    2. Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей. При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор). При повторном нарушении соответствующий работник может быть уволен.

  2. В документе установлена обязанность представления сотрудником информации о состоянии здоровья, о религиозных или политических предпочтениях, что является незаконным. Исключение составляют случаи, когда получение таких данных:
    • обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
    • необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
    • производится с добровольного согласия работника, предоставленного в письменном виде.

Приказ об утверждении положения о персональных данных

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

  • в течение трех рабочих дней с момента обращения;

  • или в срок, указанный в постановлении суда;

  • или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

5.1. Оператор обязуется обеспечивать недопущение несанкционированного и нецелевого доступа к персональным данным Пользователей Сайта. При этом санкционированным и целевым доступом к персональным данным Пользователей Сайта будет считаться доступ к ним всех заинтересованных лиц, реализуемый в рамках целей деятельности и тематике Сайта Оператора, указанных в п. 1.6. настоящего Положения.

Вместе с тем Оператор не несет ответственности за возможное нецелевое использование персональных данных Пользователей, произошедшее вследствие:

  • технических неполадок в программном обеспечении и в технических средствах и сетях, находящихся вне контроля Оператора;
  • в связи с намеренным или ненамеренным использованием Сайта Оператора не по их прямому назначению третьими лицами;
  • передачи паролей доступа, иной информации с Сайта самими Пользователями другим лицам, не имеющим доступа к данной информации;
  • неправомерных действий третьих лиц по доступу к данным Сайта, в т.ч. персональным данным.

    • Оператор гарантирует Пользователям не представление их персональных данных третьим лицам, заранее заявляющим об их возможном нецелевом использовании.

    5.2. Пользователь Сайта имеет право:

    5.2.1. Получать доступ к своим персональным данным и ознакомление с ними.

    5.2.2. Требовать от Сайта уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Сайта персональных данных.

    5.2.3. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:

    1) подтверждение факта обработки персональных данных Оператором;

    2) правовые основания и цели обработки персональных данных;

    3) цели и применяемые Оператором способы обработки персональных данных;

    4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

    5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

    6) сроки обработки персональных данных, в том числе сроки их хранения.

    5.2.4. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Сайта при обработке и защите его персональных данных.

    Персональные данные (ПД, ПДн) — сведения об определенном или определяемом физическом лице, которые прямо или косвенно имеют к нему отношение. Как видим, определение, которое нам дает ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», достаточное расплывчатое и не дает ясного представления, что же попадает под персональные данные.

    Между тем, Роскомнадзор дает простую рекомендацию по определению персональных данных:

    • во-первых, если по набору представленных сведений удается определить лицо без предоставления иных идентификаторов или документов, значит мы имеем дело с персональными данными
    • во-вторых, если для отнесения сведений к конкретному человеку требуется дополнительная информация, такие сведения нельзя считать персональными.
    152-ФЗ «О персональных данных»

    К примеру, к персональным данным можно отнести:

      • ФИО.
      • Номер телефона.
      • Паспортные данные.
      • Биометрические данные.
      • Страховой номер (СНИЛС).
      • Личный номер налогоплательщика(ИНН).
      • Пароли для доступа к социальным сетям.
      • Пароли к электронным банковским, социальным и медицинским кабинетам и др.

    Дополнительно, хотелось бы коснуться и определения «обработка персональных данных». Под обработкой персональных данных стоит понимать любую операцию или их совокупность, выполняемых операций с использованием средств автоматизации или без применения таковых с персональными данными. Например: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.

    В первую очередь стоит обратить внимание на создание политики конфиденциальности. Как правило, ее закрепляют приказом об утверждении персональных данных в локальном документе. Документ носит название «Положение о персональных данных».

    Положение обязательно содержит следующие сведения:

    • перечень обрабатываемых ПДн;
    • цели их обработки;
    • список действий с ПДн;
    • перечень действий с ними;
    • права и обязанности сотрудников при работе с ПДн;
    • порядок обработки ПДн, в том числе хранения, использования и передачи;
    • возможная ответственность сотрудников за несоблюдения порядка работы с персональными данными.

    Круг лиц, которые имеют доступ к персональным данным, должен быть ограничен. Как правило, он утверждается дополнительным приказом об обработке персональных данных. Приказ подписывается руководителем. Обычно в такой список попадают сам руководитель организации и его заместители. В некоторых случаях сотрудники отдела кадров и бухгалтерии, юрист и представители службы безопасности.

    Кроме того в список может попасть секретарь, в обязанности которого входит бронирование отелей и билетов для сотрудников. Уполномоченные на доступ к ПД работники должны подписать обязательство о неразглашении персональных данных. В некоторых случаях такая обязанность может быть заранее включена в условия трудового договора. При необходимости доступа лицам не из списка уполномоченных нужно завести журнал и фиксировать в нем каждое обращение к ПНд.

    Обработка ПД работников должна осуществляться в соответствии со следующими основными правилами, установленными ст. 86 ТК РФ:

    • обработка может осуществляться лишь в интересах сотрудников или в связи с осуществлением ими трудовой деятельности;
    • ПД могут быть получены организацией только от своего сотрудника или на основании его письменного согласия от третьей стороны;
    • финансовый источник организации защиты рассматриваемых данных — средства работодателя;
    • не допускается отказ работника от своих прав на защиту ПД, отказ в любой форме не может рассматриваться как действительный;
    • меры по защите ПД — вопрос совместной деятельности работника и работодателя.


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован.