Приказ о доступе и обработке персональных данных

Приказ о назначении ответственного за обработку персональных данных

Соблюдать требования Закона «О персональных данных» должны все компании и ИП, у которых есть работники (п. 2 ст. 3 Закона от 27.07.2006 N 152-ФЗ ). Ведь даже при приеме на работу сотрудник предоставляет своему новому работодателю личную информацию о себе: паспортные данные, сведения об образовании, воинской обязанности и т.д. И в дальнейшем работодатель тоже постоянно работает с персональными данными своих работников (со сведениями об их доходах, о состоянии здоровья и т.п.).

В связи с этим у каждого работодателя должен быть внутренний документ, определяющий политику в сфере обработки и защиты персональных данных работников (п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 N 152-ФЗ , ст. 87 ТК РФ). Это может быть, к примеру, Положение о персональных данных, которое должно быть утверждено приказом руководителя. С положением работников необходимо ознакомить под роспись (ч. 1 ст. 18, ч. 7 ст. 14 Закона от 27.07.2006 N 152-ФЗ , п. 8 ст. 86, ст. 88 ТК РФ).

В Положении о персональных данных указывается: какие именно сведения подлежат обработке, цели обработки, возможные действия с данными (накопление, хранение, уточнение и т.д.), права и обязанности работников касательно персональных данных, порядок обработки данных. Кроме того, в организации должен быть работник, ответственный за получение, обработку и хранение персональных данных, лицо, которое при исполнении своих служебных обязанностей всегда имеет к ним доступ без дополнительного разрешения.

Кто из работников может быть назначен ответственным за обработку персональных данных

В каждой организации должен быть работник, ответственный за персональные данные (у ИП-работодателя такого сотрудника может не быть). Какие-либо требования к квалификации или образованию ответственного работника законодательно не установлены, поэтому, в общем-то, для выполнения функций по обработке персональных данных подойдет любой сотрудник: специалист отдела кадров, бухгалтер, секретарь.

Приказ о назначении ответственного за организацию обработки персональных данных составляется в произвольной форме. В нем указывается сам ответственный работник и распоряжение о том, чтобы сведения о вменяемых ему обязанностях были внесены в его должностную инструкцию. Поскольку за нарушение требований к обработке и защите персональных данных возможно привлечение к дисциплинарной, материальной, административной и даже уголовной ответственности (ст. 90 ТК РФ, ч. 1 ст. 24 Закона от 27.07.2006 N 152-ФЗ ), сотрудник, работающий с личными данными, должен быть предупрежден об этом.

glavkniga.ru

Оформляем образец обязательства о неразглашении персональных данных работников

На уровне документов взаимоотношения субъекта и оператора выглядят так: субъект дает согласие на обработку персональных данных, а оператор принимает на себя обязательство о неразглашении. Данная схема распространяется и на трудовые отношения, в которых субъектом выступает работник, а оператором — работодатель.

Для чего нужен и когда пишется

Документ предназначен для того, чтобы работодатель мог обозначить ответственность и при выявлении нарушений привлечь к ней работников, которые имеют доступ к личным сведениям коллег. Количество людей, в чьи обязанности входит обработка и неразглашение персональных данных, может различаться. Если в малых организациях все ограничивается лишь главным бухгалтером, то в средних и крупных компаниях сотрудники, работающие с личной информацией, числятся в структурных подразделениях:

  • бухгалтерия;
  • отдел персонала;
  • отдел информационных технологий;
  • отдел продаж или отдел обслуживания (если речь идет об информации о клиентах).

Список может быть расширен в зависимости от специфики и структуры организации. Таким образом, в пакет типовых кадровых документов работодателя должна входить форма обязательства о неразглашении персональных данных. Оптимальный срок для подписания этого документа ответственными лицами — в момент приема на работу.

Что по этому поводу говорит закон

Статья о неразглашении персональных данных (ст. 7) содержится в федеральном законе от 27.06.2006 № 152-ФЗ. Однако просто существование закона «О защите персональных данных» еще не дает права работодателю по умолчанию накладывать ответственность на сотрудников, имеющих доступ к личным сведениям. Необходимость оформления обязательства о неразглашении информации продиктована Постановлением Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Согласно пункту 6 Постановления, «Лица, осуществляющие обработку… данных… должны быть проинформированы о факте обработки ими персональных данных, …а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами…». Кроме того, обязательной к исполнению мерой по защите личной информации является назначение приказом лиц, ответственных за обработку (ч. 1 ст. 22.1 Закона № 152-ФЗ).

Образец обязательства о неразглашении персональных данных работников

Образец приказа о неразглашении персональных данных

Ст. 24 федерального закона № 152-ФЗ гласит, что нарушение правил обращения с личной информацией влечет за собой ответственность, установленную законодательством Российской Федерации. Характер ответственности конкретизируется в ст. 13.14 КоАПРФ: «Разглашение информации влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей; на должностных лиц — от 4000 до 5000 рублей». В феврале 2018 года в текст документа внесены поправки, в соответствии с которыми штрафы увеличены и составляют: от 1000 до 3000 рублей для граждан, от 5000 до 10 000 рублей — для должностных лиц и от 30 000 до 50 000 рублей — для юридических лиц.

clubtk.ru

Составляем приказ о персональных данных работников

К персональным данным относится информация, позволяющая определить конкретное лицо. Федеральным законом от 27.07.2006 № 152-ФЗ определен перечень сведений, в том числе Ф.И.О., пол, возраст, фото и видео человека, образование, место проживания, семейный статус и другие подобные сведения, по которым конкретное лицо может быть идентифицировано.

Ответим в статье на вопросы о необходимости издания и содержании приказа о защите данных, а также ответственности работодателя при его отсутствии.

Зачем нужен приказ о персональных данных

Администрацией учреждения должна быть внедрена система защиты информации, касающейся сведений о работниках. Одним из элементов данной системы является издание распорядительного документа, определяющего алгоритм работы с данными.

Приказ о защите сведений определяет обязанность ответственных лиц обеспечить конфиденциальность персональных данных о сотрудниках и объем допуска каждого должностного лица.

Установленный образец приказа о защите персональных данных работников отсутствует, однако законодательно определено содержание документа, сопровождающего организацию процесса защиты информации:

  • назначение ответственного за организацию процесса обработки данных;
  • определение перечня лиц, допущенных к сбору, хранению и обработке;
  • утверждение положения об обработке и защите конфиденциальных данных.

Как правильно оформить приказ о персональных данных

Хотя образец приказа о персональных данных работников 2018 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.

В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.

Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)

Основная часть приказа о персональных данных должна содержать:

  • собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
  • указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
  • указание ответственному лицу ознакомить работников с распорядительным документом;
  • определить работника, который будет контролировать исполнение (может быть сам руководитель).

Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.

Образец приказа об изменении персональных данных работника

Приказ может состоять из следующих разделов:

  1. Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
  2. Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.
  3. Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
  4. Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.
  5. Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
  6. Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.

Положение о персональных данных нужно довести до сведения всех сотрудников. Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения.

Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии). В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов.

Сведения о сотрудниках необходимо защищать от неправомерного доступа. Проверку организации выполнения требований 152-ФЗ осуществляет Роскомнадзор.

В законе прямо не установлены виды нарушений и ответственность за них. 152-ФЗ отсылает работодателя к иным отраслевым законодательствам. Так, УК РФ содержит нормы, предусматривающие ответственность за неправомерное использование информации о сотрудниках.

Основная ответственность за нарушение норм 152-ФЗ — административная, которую можно понести за нарушение порядка сбора, хранения и использования сведений, за их непредоставление по запросу уполномоченных структур.

За нарушение 152-ФЗ должностное лицо может быть привлечено к дисциплинарной ответственности за ненадлежащее исполнение трудовых обязанностей при обработке информации, в том числе увольнению по пп. «в» п. 6 ст. 81 ТК РФ.

gosuchetnik.ru

Обработка персональных данных. Полезные документы

Статья 1 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» устанавливает, что персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). Оператором может быть в том числе юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
• организующее и (или) осуществляющее обработку персональных данных;
• определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Статья 85 ТК РФ говорит о том, что персональные данные работника — это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Согласно статье 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования.

Требование № 1: обработка персональных данных работника может осуществляться исключительно в целях обеспе-чения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Требование № 2: при определении объёма и содержания обрабатываемых персональных данных работника рабо-тодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.

Требование № 3: все персональные данные работника следует получать у него самого. Если персональные данные ра-ботника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источ-никах и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Требование № 4: работодатель не имеет права получать и обрабатывать персональные данные работника о его по-литических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Требование № 5: работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.

Требование № 6: при принятии решений, затрагивающих интересы работника, работодатель не имеет права ос-новываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Требование № 7: защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном ТК РФ и иными федеральными законами.

Требование № 8: работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Работники не должны отказываться от своих прав на сохранение и защиту тайны.

Статья 88 ТК РФ устанавливает следующие требования при передаче персональных данных работника:
• запрещено сообщать персональные данные работника третьей стороне без письменного согласия работника. Исключе-ние составляют случаи, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в дру-гих случаях, предусмотренных ТК РФ или иными федеральными законами;
• запрещено сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• следует предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть ис-пользованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (кон-фиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
• передача персональных данных работника осуществляется в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
• доступ к персональным данным работников разрешается лишь специально уполномоченным лицам. Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
• запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Таким образом, доступ к персональным данным работников может быть разрешён только специально уполномоченным лицам, которые к тому же имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

В частности, следует разработать ряд локальных документов, которые регулируют работу с получаемыми персональны-ми данными и ответственность лиц, их получающих. Например:
• положение о персональных данных;
• приказы об утверждении списков лиц, имеющих доступ к персональным данным работников;
• обязательства о неразглашении персональных данных лицами, имеющими доступ к персональным данным;
• порядок хранения персональных данных.

Работники, которые получают доступ к персональным данным для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под роспись.

Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должност-ной инструкции каждого сотрудника, получившего доступ к персональных данным для выполнения своих служебных обязанностей.

В идеале сотрудники, осуществляющие операции с персональными данными, должны находиться отдельно от других сотрудников. В любом случае их рабочие места (или место) должны быть оборудованы сейфами для хранения соответствующих документов.

Приведём несколько примеров соответствующих документов.

Образец приказа о назначении ответственного за организацию обработки персональных данных:

Общество с ограниченной ответственностью «Работодатель»
Приказ от 20.03.13 № 55
Во исполнение положений Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
Назначить ответственным за организацию обработки персональных данных в организации начальника отдела персонала (Ф. И. О.). Дата, подпись.
Образец положения о персональных данных:

Во исполнение требований главы 14 ТК РФ, Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», а также в целях приведения локальных нормативных актов ООО «Работодатель» в соответствие с действующим законодательством РФ
ПРИКАЗЫВАЮ:
1. Ввести в действие с 20.05.13 Положение о персональных данных работников ООО «Работодатель» (далее — Положение).
2. Начальнику отдела персонала (Ф. И.О.) в срок до 29.05.13 довести Положение до сведения всех сотрудников организации под
роспись.
3. В срок до 03.06.13 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО «Работодатель» (по форме Приложения № 1 к Положению).
4. Местом хранения Положения определить кабинет отдела персонала.
5. Контроль исполнения данного приказа оставляю за (должность, Ф. И. О.).
Должность, дата, подпись
С приказом ознакомлены: Должность, подпись, расшифровка

Общество с ограниченной ответственностью «Работодатель» (ООО «Работодатель»)

УТВЕРЖДАЮ
Генеральный директор ООО «Работодатель»

ПОЛОЖЕНИЕ
о персональных данных работников ООО «Работодатель»

1. Общие положения
1.1. Положение о персональных данных работников ООО «Работодатель» (далее — Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.06 № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами.
1.2. Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО «Работодатель» (далее — Общество).
1.3. Персональные данные работника — любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).
1.4. При определении объёма и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
2. Получение персональных данных
2.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлён об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
2.2. При поступлении на работу претендент заполняет анкету, в которой указывает следующие сведения о себе:

— Ф.И.О.;
— пол;
— дату рождения;
— семейное положение;
— наличие детей, их даты рождения;
— воинскую обязанность;
— место жительства и контактный телефон;
— образование, специальность;
— стаж работы по специальности;
— предыдущее(ие) место(а) работы;
— факт прохождения курсов повышения квалификации;
— наличие грамот, благодарностей.

2.3. Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.
2.4. При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со статьёй 65 ТК РФ.
2.5. Работодатель имеет право проверять достоверность сведений, предоставляемых работником. По мере необходимости работодатель может истребовать у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.
2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму № Т-2 «Личная карточка работника» и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел (должность).
2.7. Личное дело работника состоит из следующих документов:

— трудовой договор;
— личная карточка формы № Т-2;
— копия трудовой книжки;
— характеристики, рекомендательные письма;
— паспорт (копия);
— документ об образовании (копия);
— военный билет (копия);
— свидетельство о регистрации в налоговом органе (ИНН) (копия);
— пенсионное свидетельство (копия);
— свидетельство о заключении брака (копия);
— свидетельство о рождении детей (копия);
— копия документа о праве на льготы (удостоверение почётного донора, медицинское заключение о признании лица инвалидом, др.);
— результаты медицинского обследования (в случаях, установленных законодательством);
— документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).
2.8. Документы, поступающие в личное дело, хранятся в хронологическом порядке.
3. Хранение персональных данных
3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам. Личные дела находятся
в отделе кадров в специально отведённом шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфа-
витном порядке.
3.2. Личные дела регистрируются в журнале учёта личных дел, который ведётся в электронном виде и на бумажном носителе.
3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.
3.4. В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:

— трудовые книжки;
— подлинники и копии приказов (распоряжений) по кадрам;
— приказы по личному составу;
— материалы аттестаций и повышения квалификаций работников;
— материалы внутренних расследований (акты, докладные, протоколы и др.);
— копии отчётов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
— другие.
3.5. Персональные данные работников также хранятся в электронном виде в локальной компьютерной сети. Доступ к электронным
базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей. Пароли устанавлива-
ет системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным
работников. Пароли изменяются не реже одного раза в два месяца.
3.6. Кабинет отдела кадров оборудуется (указать, чем, например охранной системой и камерой видеонаблюдения).
3.7. Заместитель генерального директора — директор по персоналу осуществляет общий контроль соблюдения работниками мер по
защите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числе
с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.
4. Доступ к персональным данным
4.1. Доступ к персональным данным работников имеют:
— учредители Общества;
— генеральный директор;
— заместитель генерального директора;
— финансовый директор;
— директор по персоналу;
— главный бухгалтер;
— юрист;
— начальник отдела безопасности;
— руководители структурных подразделений (только к данным работников своего подразделения);
— специалисты отдела по работе с персоналом и бухгалтерии — к тем данным, которые необходимы им для выполнения конкретных функций.
4.2. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.
4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.
5. Обработка персональных данных работников
5.1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (п. 1 ст. 10 закона № 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.2. Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:
— персональные данные являются общедоступными;
— персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
— обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;
— обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;
— обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
— по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом.

5.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нём исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счёт его средств в порядке, установленном федеральным законом.
5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

5.7. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных.
6. Права и обязанности работника в области защиты его персональных данных
6.1. Работник обязуется предоставлять персональные данные, соответствующие действительности.
6.2. Работник имеет право на:

— полную информацию о своих персональных данных и обработке этих данных;
— свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;
— определение своих представителей для защиты своих персональных данных;
— доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;
— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
— требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них исключениях, исправлениях или дополнениях;
— обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Передача персональных данных
7.1. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
7.2. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.
7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении таких данных.
7.4. Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.
7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
8. Ответственность
8.1. Разглашение персональных данных работника Общества, то есть:
— передача посторонним лицам, не имеющим к ним доступа;
— публичное раскрытие;
— утрата документов и иных носителей, содержащих персональные данные работника;
— иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, —
лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания (выговора, увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ).

8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несёт полную материальную ответственность в соответствии с пунктом 7 части 1 статьи 243 ТК РФ.
8.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несёт уголовную ответственность на основании статьи 188 УК РФ.
8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несёт административную ответственность по статьям 5.27, 5.39 КоАП РФ, а также возмещает работнику ущерб, причинённый неправомерным использованием информации, содержащей персональные данные об этом работнике.

С этим Положением следует ознакомить всех сотрудников организации. При приёме на работу нового сотрудника его надо ознакомить с данным документом до подписания трудового договора (ст. 68 ТК РФ). Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.

Образец обязательства о неразглашении персональных данных:

Обязательство о неразглашении персональных данных работников ООО «Работодатель»

Я, (Ф. И. О., должность), с Положением о персональных данных работников ООО «Работодатель» ознакомлен(а). Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей. Об ответственности за разглашение персональных сведений работников предупреждён(а).
Дата, подпись

Если возникает необходимость передачи персональных данных третьим лицам, необходимо получить согласие по следующей форме:

Генеральному директору ООО «Работодатель»
от (Ф. И. О.),
зарегистрированного по адресу (указать), паспорт (серия, номер, кем и когда выдан)

Согласие на передачу персональных данных третьей стороне

Я, (Ф. И. О.), в соответствии с абзацем 1 части 1 статьи 88 ТК РФ настоящим даю согласие ООО «Работодатель» на предоставление в (указать, куда) следующих моих персональных данных:
— Ф. И. О., дата рождения;
— номер свидетельства государственного пенсионного страхования;
— размер заработной платы;
— размер начисленных и уплаченных страховых взносов.
Настоящее Согласие действительно в течение одного года с момента его получения. Дата, подпись

ВАЖНО:

Под обработкой персональных данных понимается любое действие (операция) или их совокупность, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в силу статьи 90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 13.11 КоАП РФ, 137 УК РФ).

Представляется необходимым утверждение специальной системы доступа работников отдела кадров, а также руководящего состава к персональным данным.
Также стоит предусмотреть в локальных актах персональную ответственность таких лиц за сохранение конфиденциальности персональных данных.

Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.

После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора и др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.

Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.

Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.

Николай СОЛИЧЕНКО, эксперт ООО «Smart Solution»

www.pbu.ru

Положение о персональных данных

Использование персональной информации в трудовых отношениях: виды персональных данных; получение согласия на их сбор, обработку и хранение; проверка на полиграфе и дактилоскопия; нормы трудового законодательства, регулирующие процесс использования личной информации, и ответственность должностных лиц за их нарушение.

© 2011–2018 ООО «Актион кадры и право»

Журнал «Кадровое дело» – практический журнал по кадровой работе

Все права защищены. Полное или частичное копирование любых материалов сайта
возможно только с письменного разрешения редакции журнала «Кадровое дело».
Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

Зарегистрировано Федеральной службой по надзору в сфере связи, информационных
технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации ПИ
№ ФС77-62263 от 03.07.2015

m.kdelo.ru