Список сотрудников организации, допущенных к работе с персональными данными (примерный образец)

Видео:Работа с персональными данными в 2023 году: новые требования и оборотные штрафыСкачать

Как составить Положение о работе с персональными данными сотрудников — НалогОбзор.Инфо

В организации персональные данные сотрудников содержатся в личных карточках и личных делах, если они ведутся.

Получение персональных данных

Все персональные данные сотрудника вы можете получить только от него самого. Если персональные сведения возможно получить только от третьих лиц (например, от его прежнего работодателя), то сначала уведомите об этом сотрудника и получите от него письменное согласие.

При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать согласие на их получение.

Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ и подтверждается разъяснениями Роскомнадзора от 14 декабря 2012 г.

Пример получения персональных данных сотрудника от прежнего работодателя

Сотрудница организации Е.В. Иванова устроилась в организацию «Альфа» в феврале 2015 года. В этом же году она ушла в декретный отпуск. В 2016 году сотрудница уходит в отпуск по уходу за ребенком.

В связи с тем, что в 2015 году сотрудница была в декретном отпуске, для расчета пособия по уходу за ребенком до 1,5 лет Иванова попросила заменить 2015 год расчетного периода на 2012 год, который она полностью отработала у другого работодателя.

Поскольку от предыдущего работодателя Иванова уволилась в январе 2015 года, при увольнении ей выдали справку о сумме заработка за 2014 и 2013 годы (п. 3 ч. 2 ст. 4.1 Закона от 29 декабря 2006 г. № 255-ФЗ).

Соответственно, информацией о заработке сотрудницы в 2012 году новый работодатель («Альфа») не располагает.

«Альфа» запросила необходимую информацию у предыдущего работодателя, предварительно уведомив Иванову и получив на это ее письменное согласие.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника (например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п.). Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ.

Получив персональные данные, работодатель не вправе распространять и раскрывать их третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Согласие сотрудника на обработку персональных данных

После получения персональных данных сотрудника у работодателя возникает необходимость их обработки.

По общему правилу обработку таких данных можно проводить только с письменного согласия сотрудников. В согласии должна быть указана информация об объеме обрабатываемых данных, целях, способах обработки, сведения о том, кто обрабатывает данные, срок, в течение которого действует согласие сотрудника, и его подпись (ч. 4 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Случаи обработки данных без согласия сотрудника

В отдельных случаях обрабатывать персональные данные сотрудника можно без его согласия. Например, в случаях, прямо предусмотренных коллективным договором, а также локальными актами организации (разъяснения Роскомнадзора от 14 декабря 2012 г.).

Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:

• Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);

• налоговую инспекцию (ст. 24 НК РФ);

• ФФОМС, ФСС России (ст. 15 Закона от 24 июля 2009 г. № 212-ФЗ);

• военные комиссариаты (ст. 4 Закона от 28 марта 1998 г. № 53-ФЗ);

• иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).

Также не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета, а также данных, переданные в архивную организацию.

https://www.youtube.com/watch?v=uaCg-Fh_K24

Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Кроме того, не требуйте согласия сотрудника для передачи персональных данных банку при открытии и обслуживании платежной карты для начисления зарплаты:

• если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;

• если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;

• если соответствующая форма и система оплаты труда прописана в коллективном договоре организации.

Об этом сказано в абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Защита персональных данных

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в Положении о работе с персональными данными сотрудников (ст. 87 ТК РФ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации (п. 8 ч. 1 ст. 86 ТК РФ).

Ситуация: как защитить персональные сведения, находящиеся в компьютерной базе данных?

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации.

Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации.

Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8−16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Можно ли размещать данные на корпоративном сайте

Ситуация: можно ли разместить персональные данные своих сотрудников на корпоративном сайте?

Нет, нельзя.

Персональные данные сотрудника – это информация, необходимая организации и относящаяся к определенному физическому лицу (конкретному сотруднику). Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д. Об этом сказано в пункте 1 статьи 3 Закона от 27 июля 2006 г. № 152-ФЗ.

Размещение персональных данных на корпоративном сайте организации является распространением информации, которое возможно только с письменного согласия сотрудника (ст. 88 ТК РФ).

Совет: условия о размещении персональных данных сотрудников на корпоративном сайте пропишите в Положении о работе с персональными данными.

К нему составьте приложение, в котором укажите список сотрудников, согласных (или несогласных) на размещение персональных данных.

Таким образом, требование статьи 88 будет выполнено, и организация сможет разместить персональные данные сотрудников, согласных с таким размещением, на корпоративном сайте.

В целях обеспечения прав своих сотрудников организация и ее представители при обработке персональных данных обязаны соблюдать требования, регламентируемые статьей 86 Трудового кодекса РФ.

Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к административной и уголовной ответственности (ст. 90 ТК РФ).

Или могут быть уволены с формулировкой «за разглашение персональных данных другого сотрудника на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса РФ».

Условие о неразглашении

Ситуация: можно ли в трудовых договорах сотрудников предусмотреть условие о неразглашении конфиденциальной информации?

Да, можно.

https://www.youtube.com/watch?v=U2HcvJSqBbE

Но только в отношении тех сотрудников, которые непосредственно работают с персональными данными: кадровиков, менеджеров по персоналу, секретарей (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте сотрудника с Положением о работе с персональными данными.

Ответственность за разглашение

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ).

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (ст. 192 ТК РФ). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ).

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

• для руководителя и главного бухгалтера – от 500 до 1000 руб.;

• для организации – от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Такие меры ответственности предусмотрены статьями 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность для руководителя или главного бухгалтера организации может наступить за незаконное:

• собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;

• распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

В этом случае может наступить один из следующих видов ответственности:

• штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);

• обязательные работы на срок до 360 часов;

• исправительные работы на срок до одного года;

• принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;

• лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет;

• арест на срок до четырех месяцев.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

• штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);

• лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;

• принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового. Данный вид уголовной ответственности будет применяться с 1 января 2014 года (ч. 3 ст. 8 Закона от 7 декабря 2011 г. № 420-ФЗ);

• лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет;

• арестом на срок до шести месяцев.

Такая ответственность предусмотрена в статье 137 Уголовного кодекса РФ.

Видео:Изменения в обработке персональных данных с 01 марта 2023 годаСкачать

Организация работы с персональными данными

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

• фамилия, имя, отчество;
• дата и место рождения;
• пол;
• адрес;
• семейное положение;
• должность (профессия);
• зарплата, другие доходы;
• владение недвижимым имуществом, денежные вклады и др.;
• образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
• привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
• факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• физиологические особенности, здоровье;
• деловые и иные личные качества;
• другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передача (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.

Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта.

Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться.

Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.

После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

• в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
• — листе ознакомления с Положением (образец на с. 91);
• — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

Видео:Грустная правда про отзыв персональных данныхСкачать

Образец приказа о персональных данных работников

Развитие информационных технологий сделало тему защиты персональных данных одной из наиболее обсуждаемых на самых разных уровнях.

Масштабные скандалы с утечками конфиденциальной информации из Белого дома или личных сведений миллионов посетителей международного сайта знакомств прогремели на весь мир.

Есть случаи и помельче, на уровне организаций (например, использование сотрудницами отдела кадров страниц с личной информацией сотрудников в качестве черновиков-«обороток», размещение в открытом доступе сведений об учениках образовательных учреждений или пациентах клиник).

Часто это происходит по незнанию: не все должностные лица понимают, что входит в состав персональных данных. Тем не менее, поисковая фраза «скачать образец приказа о защите персональных данных работников 2020 год» находится на лидирующих позициях в поисковых системах. И на это есть вполне понятные причины.

https://www.youtube.com/watch?v=3rdoaBqn4n0

Отношение государства к таким «оплошностям» решительно меняется в сторону ужесточения наказаний за них. Чтобы не иметь неприятностей, нужно организовать защиту персональных данных так, как этого требует глава 14 ТК РФ и закон № 152-ФЗ. В статье мы коротко расскажем о том, какой пакет документов нужно подготовить, а также дадим образец приказа о защите персональных данных работников.

Организация защиты (пакет документов)

Руководитель предприятия должен своим приказом назначить одного из сотрудников ответственным за обработку и хранение конфиденциальной информации и поручить ему составить локальные нормативные акты. Вот их небольшой перечень:

• политика организации в отношении персональных данных (в данном случае будет составлен образец приказа об утверждении политики обработки персональных данных в целом по организации);
• положение об обработке и защите конфиденциальной информации (приказ на утверждение положения о защите персональных данных);
• перечень лиц, имеющих к ней доступ;
• согласие на обработку (в общем случае согласие нужно получить от сотрудников, в частных случаях, например, для школ — от родителей, для медучреждений — от пациентов, для газет, журналов и издательств — от авторов и т. д.);
• соглашение о неразглашении;
• журнал учета передачи данных.

Порядок разработки и утверждения

Насколько хорошо организации выполняют требования 152-ФЗ, проверяет Роскомнадзор в соответствии с Административным регламентом, утвержденным Приказом Минкомсвязи России от 14.11.2011 № 312.

Для того чтобы у инспектора не было повода «принимать меры», нужно подготовить документы, перечисленные выше, и утвердить их приказами руководителя.

Основополагающим станет распоряжение об утверждении Положения — смотрите образец приказа об утверждении положения о персональных данных (2020 год).

Образец приказа о персональных данных работников 2020

Скачать

Крайне важно соблюдать правило, сформулированное в ст. 86 ТК РФ: все, что мы знаем о работнике, мы должны узнать от него самого.

В крайнем случае можно обратиться к так называемой третьей стороне, если работник не владеет необходимой информацией (забыл, потерял…), но только с его ведома (например, запросить копию диплома в архиве вуза).

Работника необходимо поставить об этом в известность и получить его согласие: это делается в форме заявления-согласия на получение сведений у третьей стороны.

Все это надо прописать в положении, с которым работник должен быть ознакомлен до момента подписания трудового договора.

Допуск к персональным данным

Персональные данные работников — это, образно говоря, «золото и бриллианты», доступ к которым ограничен даже для сотрудников организации. Кто будет иметь к ним доступ — решает директор.

Общие требования по работе в данном направлении прописываются в положении (образец приказа об утверждении положения о защите персональных данных 2020 году можно сделать в свободной форме, унифицированной формы данного документа не существует).

В то же время отдельным нормативным документом пишут, кто, когда и с какой целью имеет доступ к тем или иным персональным данным. Полный допуск, как правило, имеют:

• генеральный директор и его заместитель по безопасности;
• начальник отдела кадров.

Остальные специалисты, в том числе и бухгалтеры, могут иметь доступ только к той информации, которая им необходима для выполнения своих должностных обязанностей.

Особые случаи

Бывает, что сведения меняются (например, женщина выходит замуж и меняет фамилию или студент получает диплом о высшем образовании).

В этом случае сотрудник подает заявление, и на его основе издается приказ о внесении изменений в ряд документов (см. образец приказа об изменении персональных данных работника).

Однако это распоряжение не относится к документам, наличие которых продиктовано ФЗ-152, — это один из стандартных приказов по кадрам.

Скачать

Есть информация, которая является максимально конфиденциальной (см. образец приказа о допуске к персональным данным работников), и попытки выведать у сотрудника, в каких он состоит сообществах, каковы его религиозные убеждения, как он себя чувствует и каких политических взглядов придерживается, незаконны. Однако существует длинный перечень условий, при которых это все-таки возможно (ст. 10 ФЗ № 152-ФЗ). К таким исключениям (среди прочих) относятся, например, случаи получения мотивированных запросов (содержащих цель запроса, обоснование компетенции органа и правовые основы запроса) прокуратуры, органов МВД или Трудовой инспекции, а также информация медицинского характера, если она необходима для оказания помощи больному. Действительно, пациенты медицинских организаций очень чувствительны к соблюдению приватности, но их защищает обязанность медработника соблюдать врачебную тайну (ст. 73 ФЗ № 323-ФЗ).

Медицинская организация обязана особенно внимательно относиться к обработке данных и готовить свою, отраслевую документацию, например иметь приказ о утверждении положения о защите персональных данных и приказ «Перечень персональных данных пациентов, подлежащих защите».

Как организовать работу с персональными данными на предприятии, видео

Видео:Как работать с персональными данными в 2022 году: новые правила и обязанности для оператораСкачать

Защита персональных данных: что надо знать бухгалтеру

Ответственность за нарушения в сфере охраны персональных данных законодатель отнесен к административной. Значит, санкции за подобные проступки надо искать в Кодексе об административных правонарушениях.

Заглянув туда, мы обнаружим, что штрафы не так уж и высоки. Согласно статье 13.11 КоАП РФ они составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее руководителя, если в нарушении есть его вина.

Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. А правил для тех, кто работает с персональными данными, законодатели установили очень много (них мы подробно поговорим чуть ниже). Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее.

https://www.youtube.com/watch?v=p1RnvBrW-88

Раз уж мы затронули вопрос проверок, то сразу скажем, что ведомством, полномочным контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор).

Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ).

Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).

Статистическая справка

По данным Роскомнадзора, всего с момента возложения на эту организацию полномочий по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации нами (т.е. с ноября 2007 года) проведено 3307 проверок.

Результатами этих проверок стали более чем 4500 предписаний об устранении выявленных нарушений, и 7591 протокол об административных правонарушениях.

В 2011 году проведено 1743 проверки — то есть, более половины от общего числа за 4 года! При этом количество плановых и внеплановых (т.е. тех, которые проводятся по жалобам) проверок примерно равно 954 и 789 соответственно. При этом количество жалоб, поступающих от граждан и организаций, также постоянно растет — с 465 в 2009 году до 3240 на 26 декабря 2011 года.

По результатам проверок в 2011 году в прокуратуру было передано около 900 материалов.

Возросли в прошлом году и суммы взыскиваемых штрафов. Так, за период с 2007 по 2009 год к административной ответственности было привлечено всего 37 организаций и взыскано административных штрафов на общую сумму чуть менее 22 тысяч рублей. А на сегодняшний день эта сумма уже превысила 12,5 миллионов рублей. При этом средний размер штрафа не так уж и велик и составляет 3-5 тысяч рублей.

Источник: сайт Роскомнадзора.

Запасаемся бумагами

Итак, с ответственностью за нарушение правил работы с персональными данными мы разобрались. Давайте теперь посмотрим, что же надо сделать организации, дабы избежать штрафов.

Надо отметить, что правила, установленные Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных», касаются не только тех организаций, которые имеют дело с клиентскими базами данных.

Соблюдать требования этого закона должны все организации, в которых есть хотя бы один работник. Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от своих сотрудников, принимая их на работу.

А это значит, что организация обязана их защищать в полном соответствии с законом.

Отметим, что закон не делает каких-то различий между тем, на каких носителях в организации существуют документы, содержащие персональные данные.

Так что, и тот работодатель, который внедрил высокотехнологические информационные системы, и тот, который ведет работу с кадровыми документами на бумаге, обязаны принять ряд организационных и технических мер по защите персональных данных сотрудников.

Именно формальное выполнение этих мер в большинстве случаев и контролируют специалисты Роскомнадзора.

Первое, что захотят увидеть проверяющие, — это приказ руководителя о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (образец приказа можно скачать здесь), так и подразделение (образец приказа можно скачать здесь). В последнем случае личную ответственность несет руководитель такого подразделения.

Далее потребуется утвердить документ, содержащий перечень персональных данных (образец приказа можно скачать здесь), которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

https://www.youtube.com/watch?v=lVS3oNGq8KE

В этом перечне должны быть:

• заявление о приеме на работу;
• анкета сотрудника;
• личная карточка;
• личное дело;
• трудовой договор;
• приказы;
• трудовая книжка;
• материалы аттестационных комиссий.

Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т.п.), то эти отчеты тоже нужно включить в перечень.

Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Здесь заметим, что подготовка такого перечня важна не только для соблюдения требований законодательства. Он позволит упорядочить работу с персональными данными внутри организации. Дело в том, что трудоемкость защиты персональных данных напрямую зависит от степени важности обрабатываемых сведений.

Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категориям информации, которые подлежат более надежным методам и средствам защиты, чем данные, идентифицирующие личность.

Поэтому анализ составленного перечня и исключение из него данных, не являющихся безусловно необходимыми в деятельности организации, позволит существенно удешевить систему защиты персональных данных.

Следующий этап работы — подготовка и утверждение списка лиц, допущенных к работе с персональными данными. Этот документ утверждается приказом руководителя и доводится под подпись до всех указанных в нем сотрудников (образец приказа можно скачать здесь).

Еще один документ, который нужно подготовить и утвердить — Положение о работе с персональными данными (примерный образец Положения см. здесь; на основании этого образца нужно составить свое Положение, дополнив его особенностями сбора, обработки и использования персональных данных работников вашей компании).

В Положении о работе с персональными данными нужно детально прописать все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите.

С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.

Каким должно быть содержание Положения

Что же должно быть зафиксировано в Положении о персональных данных? На практике такой документ обычно состоит из разделов, описывающих каким именно образом в организации должен происходить сбор и обработка персональных данных; кто и в каком порядке имеет доступ к этим данным; какие меры предпринимаются для предотвращения разглашения персональных данных.

Так что начать Положение мы рекомендуем с раздела «Сбор и обработка персональных данных».

В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника (образец согласия можно скачать здесь).

А значит, не лишним будет сразу разработать и утвердить форму такого заявления. На подпись такое заявление работнику надо давать сразу при приеме на работу. А по действующим сотрудникам такую работу придется провести сразу же после утверждения Положения.

Далее может следовать раздел «Доступ к персональным данным». В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций).

При необходимости тут можно ввести уровни доступа в зависимости от должности сотрудника.

Например, директор и аппарат дирекции имеют доступ ко всем персональным данным; сотрудники бухгалтерии — только к тем сведениям, которые необходимым для расчета заработной платы и налогов; представители кадровой службы — к сведениям, необходимым для оформления кадровой документации и т.п.

https://www.youtube.com/watch?v=9LiPGJk1ZXg

Продолжит Положение раздел «Порядок обработки и передачи данных». Здесь надо зафиксировать правила для передачи данных о сотрудниках определенным  органам или лицам.

В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т.п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством.

Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в госорганы.

А вот родственникам, членам семьи, страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам и т. п. персональные данные предоставляются только при наличии письменного согласия работника на каждый конкретный факт передачи данных.

Закончить Положение лучше разделом «Ответственность». Тут изобретать велосипед не нужно — достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость  Уголовного кодекса (ст. 137 УК РФ).

Обязательно ли уведомлять Роскомнадзор?

Есть еще один немаловажный момент. Речь идет об уведомлении Роскомнадзора о том, что организация работает с персональными данными. Ситуация тут крайне неоднозначная.

На первый взгляд, закон освобождает от подачи такого уведомления, если обрабатываются только персональные данные сотрудников.

Однако на практике органы Роскомнадзора зачастую требуют предоставлять уведомление, даже если кроме работы с данными сотрудников организация никакой другой работы с персональными данными не ведет. При этом контрольное ведомство пользуется противоречивостью положений закона.

Статья 22 Закона о персональных данных, которая освобождает от необходимости направлять уведомление в части персональных данных сотрудников организации, сформулирована так, что использование данных сотрудников в отношениях с банком при начислении им заработной платы, а также с государственными органами при предоставлении сведений о работниках формально под это исключение не подпадает. Поэтому во избежание лишних споров и штрафов советуем все же направить уведомление.

Видео:Уведомление в Роскомнадзор об обработке персональных данных с 1 сентября 2022 годаСкачать

5 шагов по организации учета и хранения персональных данных

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес (место регистрации);
• образование, профессия;
• изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
• деловые и иные личные качества, которые носят оценочный характер;
• прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

• специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
• биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

• в паспорте или ином документе, удостоверяющем личность;
• трудовой книжке;
• документах о воинском учете, образовании, составе семьи;
• справке о доходах с предыдущего места работы;
• анкете, заполняемой при трудоустройстве;
• личной карточке работника (форма Т-2);
• свидетельствах о заключении брака, рождении ребенка;
• медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

https://www.youtube.com/watch?v=2OM6Dr592yM

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

• цели получения персональных данных работника у третьего лица;
• предполагаемые источники информации (лица, у которых будут запрашиваться данные);
• способы получения данных, их характер;
• возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

1.  из документов (сведений), предъявляемых при заключении трудового договора;
2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

https://www.youtube.com/watch?v=b_CHgyRaVtw

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

• заявления работников о согласии на обработку персональных данных;
• журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
• журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

• от всех ли работников получено согласие на обработку персональных данных;
• ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
• должным ли образом осуществляется хранение и защита персональных данных;
• соответствует ли документация об их обработке требованиям законодательства и т.д.

🎥 Видео

Что такое персональные данные (ПДн)? Защита по 152-ФЗ и требования Роскомнадзора в 2022Скачать

Новые требования к обработке персональных данныхСкачать

Персональные данные работников: что меняется в обработке в 2023 годуСкачать

Почему нужно отозвать согласие на обработку персональных данныхСкачать

Отзыв согласия на обработку персональных данных - ВИДЕОИНСТРУКЦИЯСкачать

Организация работы с персональными данными: с чего начатьСкачать

ПЕРСОНАЛЬНЫЕ ДАННЫЕ. Зачем собирают и что делатьСкачать

Персональные данные в 2023 году, новое, НАЧАЛОСкачать

Пакет документов по персональным данным в БеларусиСкачать

Как правильно составить согласие на обработку персональных данных в организацииСкачать

Как компании не нарушать закон о персональных данных?Скачать

Работа с персональными данными. Что изменится с 1 мартаСкачать

Что входит в понятие «персональные данные»?Скачать

Отзыв согласия на обработку персональных данных // как избавиться от спама и мошенников?Скачать

Персональные данные: как с ними работать и что делать если удаленка продолжитсяСкачать