Главная » Кадры

Документы по персональным данным: организация учета и хранения пдн в организации

На чтение: 17 мин Кадры

Образец приказа о защите персональных данных работников

При необходимости составить приказ о защите персональных данных, который вы ранее никогда не делали, посмотрите приведенный здесь пример и ознакомьтесь с комментариями к нему. С их помощью вы наверняка без особых усилий сделаете нужное вам распоряжение.

  1. В начале документа все шаблонно: напишите тут наименование организации, название приказа, его номер, дату и место формирования. После этого переходите к сути.
  2. Первым делом обозначьте здесь основание, т.е. дайте ссылку на статью закона, в соответствии с которой пишете распоряжение, а также обоснуйте его, т.е. отметьте реальную причину его создания (например, необходимость внедрения правил и норм по защите персональных сведений).
  3. Далее внесите собственно указание на защиту личной информации работников компании, а также впишите нормативно-правовые бумаги, которые это регулируют, обозначьте требование об ознакомлении с ними персонала под роспись.
  4. Назначьте ответственное лицо.
  5. Отдельным пунктом включите информацию о сотруднике, который будет следить за выполнением данного распоряжения (это может быть сам директор предприятия, кто-либо из его заместителей или же начальник отдела кадров, в ведении которого обычно и находится весь объем персональных данных).
  6. В завершении не забудьте поставить в бланк все нужные подписи.

Ошибки

При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:

  1. При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
    • до 70 тысяч рублей (для юридического лица);
    • до 5 тысяч рублей (для ИП).

Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей. При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор). При повторном нарушении соответствующий работник может быть уволен.

В документе установлена обязанность представления сотрудником информации о состоянии здоровья, о религиозных или политических предпочтениях, что является незаконным. Исключение составляют случаи, когда получение таких данных:

  • обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
  • необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
  • производится с добровольного согласия работника, предоставленного в письменном виде.

Ответственность работодателя

За нарушение установленных законом требований в области защиты ПД, на основании ст. 90 ТК РФ предусмотрены различные виды ответственности:

  • материальная — при нанесении материального ущерба нарушениями в обращении с персональными данными (ст. 232, 233 ТК РФ);
  • дисциплинарная — нарушитель может быть подвергнут актом руководителя дисциплинарному взысканию, такому как замечание, выговор, увольнение, на основании ст. 192 ТК РФ;
  • гражданско-правовая ответственность — например, возмещение убытков по ст. 15 ГК РФ, компенсация морального вреда по ст. 151 ГК РФ;
  • ответственность административного характера, предусмотренная ст. 13.11 КоАП РФ;
  • уголовная ответственность — за нарушения, повлекшие серьезные или тяжкие последствия (например, публичное распространение частных данных), по ст. 137 УК РФ.

***

Подведем итоги:

  • под понятие ПД подпадает любая информация, относящаяся к конкретному работнику;
  • обработка данных осуществляется в соответствии со ст. 86 ТК РФ и требованиями внутреннего Положения организации;
  • содержание Положения не устанавливается на законодательном уровне, но в силу закона оно должно регулировать порядок хранения и использования ПД;
  • Положение является локальным (внутренним) документом, потому принимается по общим правилам принятия таких актов в организации (ст. 8 ТК РФ);
  • за нарушение правил обработки и распространения ПД нарушитель несет различные виды ответственности (от дисциплинарной до уголовной).

***

Больше полезной информации по теме — в рубрике «Персональные данные». 

Какие требования предъявляют к операторам данных

ВАЖНО!

Операторы принимают:

  • правовые меры — создание локальных документов для защиты персданных;
  • технические, операционные — действия для безопасности: установка шифрования, обучение сотрудников и проч.

В качестве правовых мер издают локальные нормативные документы — положение о защите персданных и политику в отношении обработки. Кроме того, выпускают приказы о назначении ответственного лица и об утверждении перечня работников с доступом к личной информации физлиц. С ответственными подписывают соглашение о конфиденциальности.

ВАЖНО!

В положение об обработке и защите персданных включают:

  • порядок работы с информацией;
  • перечень лиц, которые имеют доступ к личным сведениям;
  • правила хранения личных дел и других кадровых документов;
  • способы защиты электронных документов;
  • другие положения на усмотрение работодателя.

Положение о защите персональных данных работников — что это такое

Российское трудовое законодательство обязует каждого работодателя оформлять определенные локальные нормативные акты. В большинстве случаев, эта обязанность напрямую связана с необходимостью выполнять определенные другие требования, устанавливаемые законодателем. В отношении персональных данных ситуация является идентичной, так как именно работодатель обязан обеспечивать защиту личных сведений о трудящихся и уведомлять их о порядке обработки рассматриваемой информации.

Законодательные нормативы, касающиеся положения об обработке персональных данных

Под процедурой обработки персональных данных подразумевается осуществление любых действий, так или иначе связанных с личными сведениями трудящегося — учет, хранение, фиксация, изменение, удаление, передача и другие мероприятия. В российском законодательстве большинство аспектов данных действий регламентируется отдельными нормативно-правовыми документами и актами, к которым можно отнести:

Администрацией учреждения должна быть внедрена система защиты информации, касающейся сведений о работниках. Одним из элементов данной системы является издание распорядительного документа, определяющего алгоритм работы с данными.

15 Мая 2022 в 11:31 Обработка персональных данных подразумевает участие двух сторон: субъекта и оператора. Первый является носителем данных, второй выполняет с полученной информацией различные манипуляции (сбор, хранение, систематизацию, обновление, накопление и пр.).

Оформляем образец обязательства о неразглашении персональных данных работников

данных индивидуального характера, подчиняются нормативам Федерального закона от 27.07.2022 № 152-ФЗ «О персональных данных» (далее Закон).Пункт 2 часть 1 статья 18.1 Закона дает понятие персональным данным (далее ПД), к которым относят любую информацию, касающуюся субъекта прямо или косвенно, позволяющего идентифицировать его. Если говорит о работнике, как субъекте ПД, то работодатель использует следующие параметры:фамилия, имя и отчество;информация о рождении: место

Для чего необходимо составить и утвердить соответствующее Положение.Каждая организация вправе самостоятельно разработать Положение, законодатель не устанавливает его строгой формы. Обязательным является наличие следующих разделов:

  1. меры по защите ПД разрабатываются руководством и сотрудником совместно.
  2. определяя состав и объем персданных, компания ориентируется на Конституцию, ТК РФ и другие законы;
  3. она совершается исключительно в интересах людей или в связи с их трудовыми функциями;
  4. персданные попадают к организации только от собственного сотрудника или от третьего лица, но с его письменного согласия;
  5. человек не может отказаться от своих прав на защиту ПД – даже если такой отказ в какой-либо форме будет создан, он будет недействительным;
  6. компания за свой счет организует хранение и защиту ПД сотрудников;

Согласие на обработку персональных данных: как его правильно оформить в 2022 году

Этот документ составляется сразу же, как только осуществляется прием на работу сотрудника в компанию. Так как при трудоустройстве он в организацию предоставляет значительный объем информации о себе, который не должен подлежать разглашению. Однако, работа компании предполагает

Закон № 152-ФЗ от 26.07.2022 дает более длинную формулировку, где человек именуется субъектом, который определяется по четким критериям правовых норм. Также вопрос регламентирован главой 14 Трудового кодекса Российской Федерации и Конституцией Российской Федерации.

Защита данных

Если данные хранятся в электронной системе, то нужно ограничить доступ сотрудников к базе и как один из способов ввести систему, в которой для каждого работника будет создан свой личный пароль, который необходимо периодически менять. Если информация хранится на электронных носителях, таких как флешки, диски, то их необходимо хранить в сейфе.

Данные сотрудников можно использовать в том случае, если было получено разрешение. Например, работник хочет получить кредит и банк звонит, чтобы уточнить у работодателя действительный уровень дохода. В таком случае передать данные можно только с разрешения работника.

Согласие на обработку персональных данных

Перед тем как работник передаст вам свои персональные данные, вы должны письменно разъяснить ему все об объеме данных, целях их получения, способах обработки и о сроке действия соглашения на обработку. Сотрудник обязательно должен поставить свою подпись в знак согласия.

Персональными данными является любая информация о соискателе.

Случаи, в которых не требуется согласие

Исключением из правил являются те случаи, когда данные необходимы для:

  1. Заполнения личной карточки работника.
  2. Если нужно передать сведения о работнике во внебюджетные фонды, налоговую инспекцию или военкомат.
  3. Для заведения зарплатной банковской карты.
  4. Если передача данных предусмотрена договором, который заключен напрямую.
  5. Если есть доверенность, что вы можете завести банковскую карту на сотрудника (это должно быть прописанно в коллективном договоре).

В этих случаях вы не должны спрашивать согласие на передачу информации.

Данные, которые не подлежат обработке:

  1. Национальность и раса.
  2. Различные убеждения.
  3. Сведения о здоровье.
  4. Интимная сфера.

Работодатель при трудоустройстве просто не имеет права задавать вопросы из перечисленных выше категорий. Соответственно, сотрудник имеет полное право не отвечать на подобные вопросы.

Как ознакомить с положением сотрудников предприятия?

Ознакомиться с содержанием положения должны все сотрудники предприятия, деятельность которых так или иначе связана с обработкой персональных данных. Все вновь принимаемые сотрудники знакомятся с содержанием документа при приеме на работу – до подписания трудового договора или одновременно с его подписанием.

Факт ознакомления с содержанием документа подтверждается подписями сотрудников. Сбор подписей можно осуществлять разными способами:

  1. Прикрепить к положению лист ознакомления, в котором каждый работник будет писать Ф.И.О. и дату ознакомления, а также ставить свою подпись.
  2. Завести журнал ознакомления с локальными нормативными актами и включить туда раздел об ознакомлении с положением о персональных данных – ознакомленные работники будут вносить в него необходимые сведения.

Вам также будет интересно:

— Положение о бухгалтерии: скачать образец
— Положение о проведении инвентаризации на предприятии

Чтобы упростить процедуру использования положения в работе предприятия, его можно перевести в электронный вид. Перевод документа в цифровой формат имеет определенные преимущества:

  1. Работники, деятельность которых регулируется нормами положения, смогут получить доступ к тексту документа в любое удобное для них время.
  2. Электронный документ проще актуализировать – достаточно внести изменения в цифровую копию, и все сотрудники смогут сразу же с ними ознакомиться.

Порядок оформление доступа к персональным данным лица, осуществляющего обработку персональных данных.

Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 1. Оформление приказа о назначении ответственного за организацию обработки персональных данных Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде. 2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию. В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником. Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей. 3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ. 4. Оформление письменных обязательств о неразглашении персональных данных. Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.

5. Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.

Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен. с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

Положение о персональных данных: структура документа

Документ разрабатывается в соответствии с правилами внутреннего документооборота, действующими в компании.

В общем случае он должен содержать следующие сведения:

  • наименование документа;
  • номер приказа, которым он введен в действие;
  • Ф.И.О. и должность лица, утвердившего положение (как правило, это делает директор или генеральный директор);
  • дата и место составления документа;
  • наименование предприятия, на котором действует положение;
  • цели и задачи предприятия, которых нужно достичь при работе с персональными данными;
  • перечень данных, которые относятся к персональным на конкретном предприятии;
  • описание действий, совершаемых с полученной от работника информацией в ходе работы;
  • способы доступа к данным;
  • способы хранения данных;
  • права и обязанности лиц, имеющих доступ к охраняемым сведениям;
  • ответственность работников за нарушение правил конфиденциальности.

Вам также будет интересно:

— Как уволить сотрудника за разглашение коммерческой тайны в 2022 году?
— Какие документы должны храниться в бухгалтерии в полном составе

Иногда к положению прикрепляют приложения – ими устанавливают формы документов, применяемых в работе: например, образец согласия на обработку персональных данных. На нашем сайте вы можете скачать образец с приложениями и переработать его с учетом особенностей функционирования именно вашей организации.

Кто является оператором персональных данных?

Согласно ст. 3 Закона № 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;

  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

  • сделанных субъектом персональных данных общедоступными;

  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;

  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

  • обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.

Что должно содержать положение о защите персональных данных

Закон не определяет, какие именно сведения и разделы должны быть внесены в документ. Также нигде не оговариваются критерии, по которым необходимо производить оформление. Поэтому, в процессе подготовки этого документа на предприятии нужно учитывать требования ФЗ о персональных данных, а также общие принципы оформления внутренних нормативных актов.

Общие положения

Этот раздел должен содержать цели составления документа, иметь ссылки на законы и другие нормативные акты по работе с персональными данными. Еще здесь нужно описать процесс введения положения в действие, и как именно будут в него вноситься изменения.

Перечень персональных данных сотрудников

Это один из самых важных разделов в положении, поскольку именно он будет определять, какие именно сведения подпадают под понятие персональных. Составлять этот раздел лучше всего только после того, как от работников получены все необходимые документы и проведен их анализ на предмет содержащихся в них сведений. Здесь же можно описать внутренние документы, в которых могут содержаться личные данные, и какие также должны подлежать защите.

Операции с персональными данными

В этом разделе нужно описать какие подразделения, либо конкретные лица, получают право на работу с персональными данными. Также здесь нужно конкретно указать носители, на которых могут храниться данные (например, в виде распечаток на бумаге, в электронном виде в базе данных и т.д.)

Доступ к персональным данным

В разделе нужно описать каким образом персональные данные, имеющиеся в компании, могут быть использованы другими работниками, не имеющими на это полномочий. Также в этом разделе необходимо обговорить порядок предоставления имеющихся сведений в другие организации, госорганы, прочим лицам.

Обязанности работников с доступом к персональным данным

В этом разделе нужно описать какие именно действия обязаны выполнять работники, допущенные к личным данным сотрудников компании.

Права работников в отношении операций с персональными данными

Здесь описываются права работников, которые передали компании свои персональные сведения, и тех, кто обладает доступом к таким сведениям в процессе выполнения обязанностей.

Защита персональных данных

В разделе описывается, в каком именно месте и каким образом в компании хранятся полученные персональные данные. Необходимо подробно указать при помощи каких мер производится защита данных на бумаге (например, архивные шкафы, запирающиеся на ключ, замок с кодовым доступом на двери помещения архива и т. д.). Также нужно описать, где хранятся и как защищаются данные, имеющиеся в электронном виде.

Что относят к персональным данным

  • Ф.И.О.;
  • дату рождения;
  • паспортные данные;
  • адрес регистрации и проживания;
  • ИНН;
  • номер СНИЛС;
  • информацию об образовании и трудовом стаже;
  • семейное положение, наличие детей;
  • факты биографии;

Это минимальный перечень сведений о себе, который человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, факты дисциплинарных взысканий и поощрений, отчеты для органов статистики и т. п. Массив полученной информации составляет личное дело работника.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Путеводитель по услугам
Вам также может быть интересно
.
Что будет за нарушения правил оформления первичных документов
Учет и отчетность 0
Первичные учетные документы в свете нового стандарта: от составления до хранения
Какие требования предъявляются к первичным учетным документам? Какие обязательные реквизиты должны быть у первичного
Путеводитель по услугам
Обязанности работодателя в области воинского учета
Учет и отчетность 0
Ведение воинского учета в организации
Информация о том, как вести воинский учет в компании. Инструкция по ведению военно-учетной документации.
Путеводитель по услугам
Новые сроки хранения документов (управленческих, кадровых, бухгалтерских, налоговых и прочих): таблица
Налоги 0
Срок хранения бухгалтерских документов в организации
Путеводитель по услугам
Порядок хранения документов в организации – законодательное закрепление
Учет и отчетность 0
Сроки хранения документов в организации в 2021 году
Сколько хранить налоговую, кадровую и бухгалтерскую документацию в 2021 году - таблица по срокам,
Путеводитель по услугам
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.