Рейтинг: 4.5/5.0 (1917 проголосовавших)Категория: Бланки/Образцы
об обработке и защите персональных данных работников
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников предприятия. Под работниками подразумеваются лица, заключившие трудовой договор с предприятием.
1.2. Цель настоящего Положения - защита персональных данных работников предприятия от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Трудовой кодекс РФ, другие действующие нормативно-правовые акты РФ.
1.4. Настоящее Положение и изменения к нему утверждаются руководителем предприятия и вводятся приказом по предприятию. Все работники предприятия должны быть ознакомлены под роспись с данным Положением и изменениями к нему.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
2.2. Состав персональных данных работника:
- сведения о трудовом и общем стаже;
- сведения о предыдущем месте работы;
- сведения о составе семьи;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- сведения о социальных льготах;
- размер заработной платы;
- адрес места жительства;
- содержание трудового договора;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики;
- копии документов об образовании;
- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии и иные сведения, относящиеся к персональным данным работника;
- рекомендации, характеристики и т.п.
2.3. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении ____ лет срока хранения, если иное не определено законом.
3. ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ
3.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
3.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.1.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
3.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.1.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
3.1.8. Работники и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
4. ОБЯЗАННОСТИ РАБОТНИКА
4.1. Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом РФ.
4.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.
5. ПРАВА РАБОТНИКА
Работник имеет право:
5.1. На полную информацию о своих персональных данных и обработке этих данных.
5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством РФ.
5.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.
5.4. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.5. Требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.6. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
5.7. Определять своих представителей для защиты своих персональных данных.
6. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
6.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
6.3. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
6.4. Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами. Предоставление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
6.5. При поступлении на работу работник заполняет анкету и автобиографию.
6.5.1. Анкета представляет собой перечень вопросов о персональных данных работника.
6.5.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
6.5.3. Автобиография - документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника.
6.5.4. Автобиография составляется в произвольной форме, без помарок и исправлений.
6.5.5. Анкета и автобиография работника должны храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
6.5.6. Личное дело работника оформляется после издания приказа о приеме на работу.
6.5.7. Все документы личного дела подшиваются в обложку образца, установленного на предприятии. На ней указываются фамилия, имя, отчество работника, номер личного дела.
6.5.8. К каждому личному делу прилагаются две цветные фотографии работника размером ______.
6.5.9. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.
6.5.10. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ СОТРУДНИКА
8.1. Внутренний доступ (доступ внутри предприятия).
Право доступа к персональным данным сотрудника имеют:
- руководитель отдела кадров;
- руководители структурных подразделений по направлению деятельности (доступ к личным данным только работников своего подразделения) по согласованию с руководителем предприятия;
- при переводе из одного структурного подразделения в другое доступ к персональным данным сотрудника может иметь руководитель нового подразделения по согласованию с руководителем предприятия;
- сотрудники бухгалтерии - к тем данным, которые необходимы для выполнения конкретных функций;
- сам работник, носитель данных.
8.2. Внешний доступ.
Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры:
- органы социального страхования;
- подразделения муниципальных органов управления.
8.3. Другие организации.
Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
8.4. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
9. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
9.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников организации все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками отдела кадров, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
9.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках предприятиях.
9.3. Передача информации, содержащей сведения о персональных данных работников организации, по телефону, факсу, электронной почте без письменного согласия работника запрещается.
9.4. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
9.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
10. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,
СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ РАБОТНИКА
10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Начальник отдела кадров: ______________
I. Общие положения
Персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Персональные данные работника содержатся в основном документе персонального учета работников - личном деле работника.
Личное дело работника состоит из следующих разделов:
1) анкетно-биографические и характеризующие материалы, к которым относятся:
- заявление о приеме на работу (не обязательно),
- листок по учету кадров,
- военный билет, приписное свидетельство (копия),
- документы об образовании (копия),
- свидетельство о регистрации в налоговом органе (ИНН) (копия),
- пенсионное удостоверение (для пенсионеров) (копия),
- свидетельство о рождении детей (копия),
- свидетельство о заключении брака (копия),
- документ о праве на льготы (копия),
- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей (для категории работников моложе 18 лет; поступающих на работу с вредными и (или) опасными условиями труда, на тяжелые работы; поступающих на работу, непосредственно связанную с движением транспортных средств; заявление работника о приеме на работу),
- документы, связанные с переводом и перемещением работника (заявления работника и т.п.),
- характеристики и рекомендательные письма,
- заявление работника об увольнении,
- копия приказа об увольнении,
- личная карточка формы N Т-2,
- другие документы, нахождение которых в личном деле будет признано целесообразным;
2) дополнительные материалы, к которым относятся:
- расписка работника об ознакомлении с документами организации, устанавливающими порядок обработки персональных данных работников, а также о его правах и обязанностях в этой области,
- дополнение к личному делу,
- другие документы, нахождение которых в личном деле будет признано целесообразным.
В личное дело работника включается также опись всех документов, находящихся в деле.
II. Получение персональных данных работника
Получение, хранение, комбинирование, передача или любое другое использование персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Все персональные данные работника получают у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Не допускается получение и обработка персональных данных работника о его политических, религиозных и иных убеждениях и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.
При принятии решений относительно работника на основании его персональных данных не допускается использование данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ возможны получение и обработка данных о частной жизни работника только с его письменного согласия.
III. Формирование и ведение личных дел
Личное дело работника формируется после издания приказа о его приеме на работу.
Первоначально в личное дело группируются документы, содержащие персональные данные работника, в порядке, отражающем процесс приема на работу: кадровая справка; заявление работника о приеме на работу; листок по учету кадров; результат медицинского обследования на предмет годности к осуществлению трудовых обязанностей; расписка работника об ознакомлении с документами организации, устанавливающими порядок обработки персональных данных работников, а также о его правах и обязанностях в этой области; расписка работника об ознакомлении его с локальными нормативными актами организации; дополнение к личному делу; внутренняя опись.
Все документы личного дела подшиваются в обложку.
К каждому личному делу прилагается фотография работника (без головного убора, размер 3 x 4 см). На оборотной стороне фотографии указываются фамилия, имя, отчество работника.
В каждом разделе личного дела ведется внутренняя опись, куда заносятся наименования всех документов, дата их включения в дело, количество листов, а также дата изъятия документа из дела с указанием лица, изъявшего документ, и причины изъятия. В случае временного изъятия документа вместо него вкладывается лист-заменитель. Изъятие документов из личного дела производится исключительно с разрешения специалиста по кадрам. Внутренняя опись подписывается лицом, ее составившим, с указанием даты составления.
Все документы, поступающие в личное дело, располагаются в хронологическом порядке.
Не допускается включать в личное дело документы второстепенного значения, имеющие временные (до 10 лет) сроки хранения, например, справки с места жительства и т.п.
Листы документов, подшитых в личное дело, нумеруются.
Листок по учету кадров является основным документом личного дела, представляющим собой перечень вопросов о биографических данных работника, его образовании, семейном положении, месте прописки или проживания, выполняемой работе с начала трудовой деятельности и т.п. Листок по учету кадров заполняется работником самостоятельно при оформлении на работу.
При заполнении листка по учету кадров работник должен заполнять все его графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержатся в его личных документах. Отрицательные ответы в графах листка по учету кадров записываются без повторения вопроса.
При заполнении графы "Образование" следует применять следующие формулировки: "высшее", "неполное высшее", "среднее специальное", "неполное среднее" - в зависимости от того, какой документ имеется у работника.
В графе "Семейное положение" перечисляются все близкие родственники (муж, жена, дочь, сын), проживающие совместно с работником. Указываются фамилия, имя, отчество и дата рождения каждого члена семьи.
В графе "Выполняемая работа с начала трудовой деятельности" отражаются сведения о работе в строгом соответствии с записями в трудовой книжке.
Все записи производятся в хронологическом порядке.
При заполнении листка по учету кадров используются следующие документы:
- документы об образовании;
- документы о присвоении ученой степени, ученого звания.
Листок по учету кадров подписывается лицом, принимаемым на работу, и специалистом по кадрам после сверки сведений, занесенных в анкету, с соответствующими документами и заверяется печатью отдела кадров.
Копии всех документов заверяются личной подписью специалиста по кадрам после сверки их с подлинниками документов.
Дополнение к личному делу - документ, в котором фиксируются сведения о перемещении работника по работе (дата вступления в должность и дата ухода с нее) с указанием причины перемещения ("Назначен с понижением в аттестационном порядке").
Дополнение к личному делу составляется специалистом по кадрам и не нуждается в заверении подписью либо печатью.
Личная карточка формы N Т-2 составляется специалистом по кадрам по унифицированной форме, содержит в себе сведения о персональных данных работника в полном соответствии с представленными документами. В случае обновления старая личная карточка изымается из раздела личного дела "Анкетно-биографические и характеризующие материалы", приобщается к "Дополнительным материалам" и заменяется новой. Личная карточка подписывается специалистом по кадрам.
В дальнейшем личное дело пополняется документами, возникающими в процессе трудовой деятельности работника, к которым относятся:
- копии документов об утверждении в должности;
- другие характеризующие и дополняющие материалы, перечисленные в разделе I настоящего Положения.
Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
Специалист по кадрам получает от принимаемого на работу работника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявленными документами.
IV. Права и обязанности работника в области защиты
его персональных данных
Работник обязуется предоставлять персональные данные, соответствующие действительности.
Работник имеет право:
- на полную информацию о своих персональных данных и обработке этих данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством РФ;
- на определение своих представителей для защиты своих персональных данных;
- на доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по своему выбору;
- на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
V. Учет, хранение и передача персональных данных работника
Личные дела, в которых хранятся персональные данные работников, являются документами "Для внутреннего пользования".
Личное дело регистрируется, о чем вносится запись в журнал учета личных дел. Журнал содержит следующие графы:
- порядковый номер личного дела;
- фамилия, имя, отчество сотрудника;
- дата постановки дела на учет;
- дата снятия дела с учета.
В кадровой службе (отделе) хранятся личные дела работников, работающих в настоящее время. Для этого используются специально оборудованные шкафы или сейфы, которые запираются и опечатываются. Личные дела располагаются в порядке согласно их номерам либо в алфавитном порядке.
После увольнения работника в личное дело вносятся соответствующие документы (заявление о расторжении трудового договора, копия приказа о расторжении трудового договора), составляется окончательная опись, само личное дело оформляется и передается для хранения.
Личные дела работников, уволенных из организации, хранятся в архиве организации в алфавитном порядке.
- сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством РФ;
- сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Доступ к персональным данным работников разрешается только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
При передаче персональных данных работника третьим лицам необходимо предупреждать их о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Исключение составляет обмен персональными данными работников в порядке, установленном законодательством РФ.
Передача персональных данных работника в пределах одной организации осуществляется в соответствии с локальными нормативными актами данной организации.
Передача персональных данных работника его представителям осуществляется в порядке, установленном в организации. Объем передаваемой информации ограничивается только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Вы нашли то что искали?
«Положение о персональных данных работников 2016 образец»— весьма популярный запрос в поисковиках, поскольку закон обязывает всех работодателей утвердить этот внутрикорпоративный акт, однако не указывает при этом требований к его форме и структуре. Понятие персональных сведений, действия по их охране, а также правила составления положения рассмотрим ниже.
Образец Положения о персональных данных.doc
Персональные данные работника и меры по их охранеОпределение термина «персональные данные» для трудовой сферы до 07.05.2013 содержалось в ст. 85 ТК РФ. В качестве таковых указывались исключительно сведения, требующиеся и полученные работодателем в связи с трудовой деятельностью субъекта.
Сейчас приведенная выше норма исключена, а толкование понятия персональных данных является унифицированным и содержится в ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ: это вся информация, относящаяся к физлицу.
Работодатель как субъект, осуществляющий обработку личных сведений, обязан гарантировать защиту такой информации от противоправного доступа и использования.
Примеры документов, включающих персональные данные:
Ст. 86 ТК РФ отмечает, что единственным источником личных сведений может выступать сам сотрудник. Когда такими данными обладает постороннее лицо, получить их допускается при условии, что на это согласен работник.
В ст. 88 ТК РФ содержится общий запрет на распространение данных с указанием ряда исключений, например, если такие действия требуются во избежание угрозы жизни субъекта.
ВАЖНО! Грубым нарушением закона является сам факт необеспечения сохранности документации, содержащей персональную информацию, вне зависимости от наступления для лица негативных последствий (определение Челябинского областного суда от 14.03.2016 № 11-1913/2016).
Нюансы составления положения о работе с персональными данными (2015–2016)В ст. 87 Трудового кодекса и ст. 18.1 закона зафиксирована обязанность работодателя по формулировке и закреплению во внутренних актах порядка обработки, хранения личных данных персонала, перечня шагов по их защите. Указанным документом чаще всего является положение об обработке персональных данных работников .
Закон не предъявляет специфических требований к составлению локального акта. На практике в него включается следующая информация:
Положение о персональных данных работников подлежит утверждению приказом руководителя юрлица.
ВАЖНО! Всем работникам указанный акт предоставляется для ознакомления, для чего может быть заведен специальный журнал с перечнем работающих в компании субъектов, где каждый ставит подпись после прочтения правил.
Образец положения о работе с персональными данными можно скачать по ссылке: Положение о работе с персональными данными (образец-2016) .
Работодатель, выступая субъектом, получающим и обрабатывающим личную информацию персонала, обязан принять необходимые меры для ее защиты при обработке, хранении, использовании. Соответствующие меры регламентируются положением о персональных данных, предоставляемым для ознакомления всем работникам.
Тип НПА. Нормативно-правовые акты ФАС
О назначении ответственного за организацию обработки персональных данных государственных гражданских служащих и работников в центральном аппарате Федеральной антимонопольной службы
В соответствии с пунктом 1 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ О персональных данных
1. Назначить ответственным за организацию обработки персональных данных государственных гражданских служащих и работников центрального аппарата Федеральной антимонопольной службы заместителя руководителя ФАС России Субботина Павла Тимофеевича.
2. Руководителям территориальных органов Федеральной антимонопольной службы в срок до 1 сентября года назначить ответственного за организацию обработки персональных данных государственных гражданских служащих и работников в соответствующем территориальном органе. Копию приказа о таком назначении направить в Управление государственной службы ФАС России.
3. Контроль исполнения настоящего приказа оставляю за собой.
Образец приказа о персональных данныхОбщество с ограниченной ответственностью Образец приказа о персональных данных
О персональных данных
В целях исполнения действующего законодательства Российской Федерации, приказываю:
1. Разработать юрисконсульту Правильный Игорь Петрович Положение о персональных данных и предоставить его на утверждение генеральному директору ООО Образец приказа о персональных данных до 01.07. года.
2. Назначить ответственных за сбор и хранение персональных данных работников общества следующих сотрудников:
- начальника отдела кадров Мирошниченко Ларису Ивановну;
- специалиста по кадрам Персональную Нину Михайловну.
3. Назначить ответственных за обработку персональных данных работников общества следующих сотрудников:
- начальника отдела кадров Мирошниченко Ларису Ивановну;
- специалиста по кадрам Персональную Нину Михайловну;
- юрисконсульта Правильного Игоря Петровича;
- главного бухгалтера Главченко Надежду Петровну;
- бухгалтера по расчёту заработной платы Расчётная Ларису Дмитриевну.
4. Настоящий приказ объявить руководителям структурных подразделений и должностным лицам, назначенным ответственными за обработку персональных данных.
5. Контроль за исполнением настоящего приказа оставляю за собой.
Генеральный директор ____________ Г.Д.Сокращаев
С приказом ознакомлены:
____________ Л.И. Мирошниченко
____________ Н.М. Персональная
____________ И.П. Правильный
____________ Н.П. Главченко
____________ Л.Д. Расчётная
АнонсыС 1 января текущего года изменился порядок привлечения на работу иностранных граждан. В нововведениях поможет разобраться Яна Метелева. юрист и консультант по вопросам трудового законодательства.
В организации с небольшой численностью работников нет ответственного за организацию обработки персональных данных, за это должен отвечать директор.Надо ли оформлять приказ о том, что директор назначает себя ответственным за организацию обработки персональных данных? Нужно ли в таком приказе перечислить, что именно ему вменяется в обязанности?
Рассмотрев вопрос, мы пришли к следующему выводу:
Организации необходимо издать приказ о назначении руководителя ответственным за организацию обработки персональных данных.
Включение в текст этого приказа прав и обязанностей лица, ответственного за организацию обработки персональных данных, не является обязательным условием. Целесообразнее указать данные права и обязанности в положении об обработке персональных данных.
Защита персональных данных работника осуществляется в соответствии с положениями главы 14 ТК РФ и Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ).
В силу положений п. 2 ст. 3 Закона N 152-ФЗ работодатель по отношению к работнику является оператором по обработке персональных данных.
Согласно пп. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона N 152-ФЗ оператор (работодатель) - юридическое лицо обязан назначить ответственного за организацию обработки персональных данных. Для этого работодатель должен издать соответствующий приказ.
Из буквального толкования данных норм следует, что назначение ответственного лица является обязательным требованием. Поэтому, по нашему мнению, если в организации нет специального сотрудника, отвечающего за организацию обработки персональных данных, такой приказ необходимо издать в отношении руководителя организации.
Отметим, что обе эти статьи (ст.ст. 18.1 и 22.1 Закона N 152-ФЗ) введены в действие с 1 июля г. Получается, законодатель сделал акцент на необходимости назначения ответственного лица и, следовательно, издания соответствующего приказа.
Как следует из положений ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ, работодатель также обязан разработать и утвердить положение об обработке персональных данных в соответствии с требованиями Трудового кодекса и Закона N 152-ФЗ. В данном положении работодателем наряду с порядком хранения и использования персональных данных, на наш взгляд, следует указать также права и обязанности лица, ответственного за обработку персональных данных, его ответственность.
Утверждение положения об обработке персональных данных, а также назначение ответственного лица оформляется соответствующими приказами работодателя. Они могут быть оформлены двумя отдельными документами или одним документом. При этом трудовое законодательство не устанавливает обязательных требований к содержанию этих приказов.
Представляется, что в приказе о назначении лица, ответственного за организацию обработки персональных данных, нет необходимости перечислять права и обязанности данного лица, поскольку их целесообразнее указать в положении об обработке персональных данных.
Эксперт службы Правового консалтинга ГАРАНТ
Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
10 Ошибок, которые не стоит допускать при оформлении документов, связанных с персональными данными"Кадровая служба и управление персоналом предприятия" N 3
10 ОШИБОК, КОТОРЫЕ НЕ СТОИТ ДОПУСКАТЬ ПРИ ОФОРМЛЕНИИ ДОКУМЕНТОВ, СВЯЗАННЫХ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
По опросу знакомых и клиентов-работодателей, никто особо не "напрягается" из-за новых требований Закона о персональных данных <1>. Действительно, "поймать" организацию за нарушение правил работы с персональными данными проверяющий может практически на любом аспекте, однако ответственность довольно невысока. Да и когда, в самом деле, Роскомнадзор обратит внимание на среднестатистическую компанию? Ведь в плане проверок, размещенном на сайте ведомства, обычно числятся крупные организации. Вместе с тем суммы штрафов расти будут, и безобидные на первый взгляд нарушения могут закончиться для работодателя весьма плачевно.
<1>Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
Штрафы вырастут в цене
Практика показывает, что после недавнего ужесточения норм Закона о защите персональных данных проверяющие особенно активизировались, нещадно штрафуя нарушителей. Как отмечает Роскомнадзор в отчете за г. (http://www. rsoc. ru/docs/Otchet_.pdf), суды привлекли к административной ответственности в виде штрафа операторов персональных данных (все работодатели ими являются) на общую сумму 4480 тыс. руб. Для сравнения: в 2009 г. общая сумма наложенных штрафов составила в 60 раз меньше - всего 75 тыс. руб.!
В г. тенденция по увеличению суммы наложенных штрафов сохранилась, хотя статистика еще недоступна. Это говорит о том, что операторы персональных данных допускают многочисленные нарушения. И пусть максимальная сумма штрафа пока мало кого пугает. Напомним, что для организаций по ст. 13.11 КоАП РФ сейчас она составляет от 5000 до 10 000 руб. должностного лица - от 500 до 1000 руб. гражданина - 300 - 500 руб. но планы по значительному повышению штрафов за нарушение порядка обработки персональных данных, видимо, скоро претворят в жизнь.
Разговоры об ужесточении ответственности начались в прошлом году, сразу после упомянутых поправок, а недавно в прессе появилась информация, что Правительство РФ подготовило законопроект, увеличивающий наказание за разглашение персональных данных в разы. Работодатель-нарушитель может быть оштрафован от 200 тыс. до 500 тыс. руб. предприниматель без образования юридического лица - от 50 тыс. до 100 тыс. руб. должностное лицо - от 15 тыс. до 50 тыс. а гражданин - от 10 тыс. до 15 тыс. руб.
Если же нарушение происходит не в первый раз, то повторное наказание будет еще жестче. Организация может лишиться от 500 тыс. до 1 млн руб. предприниматель - от 100 тыс. до 300 тыс. должностное лицо - от 50 тыс. до 100 тыс. руб. а гражданин - от 15 тыс. до 30 тыс. руб. Причем деятельность юридического лица или предпринимателя может быть приостановлена на срок до 90 суток.
Эксперты отмечают, что если законопроект будет принят, то штрафы "обрушатся" на головы работодателей как снег на голову. А учитывая довольно непроработанные требования Закона, привлекать к административной ответственности операторов персональных данных можно будет поголовно, что, кстати, проверяющие из Роскомнадзора России делают и будут делать.
Сотрудники контролирующего ведомства уделяют большое внимание документам, которые закрепляют политику в отношении персональных данных работников, вопросы их обработки и защиты. С одной стороны, в нормативных актах установлены определенные требования к оформлению и содержанию этих документов, с другой, эти требования "размыты" по многочисленным нормативным актам, поэтому работодателям бывает довольно сложно в них сориентироваться.
Большинство замечаний сотрудников Роскомнадзора <2>относится к тому, что необходимые документы, касающиеся персональных данных на предприятиях, часто носят формальный характер, повторяя содержание статей ТК РФ и Закона о персональных данных. В разъяснениях контролеры выделяют типичные ошибки, которые допускают работодатели при оформлении кадровых документов, регламентирующих обработку и защиту персональных данных. Чтобы избежать ответственности или хотя бы свести ее к минимуму, мы проанализировали замечания Роскомнадзора и предлагаем вам список из 10 ошибок, которые не стоит делать при составлении документов для защиты персональных данных ваших работников. А для наглядности приведем правильные формулировки и образцы заполнения необходимых на каждом предприятии документов.
<2>Официальный сайт Роскомнадзора России www. rsoc. ru.
1. Не указываются конкретные нормы закона, на основании которых работодатель ведет обработку персональных данных. Обратите внимание: Роскомнадзор говорит о том, что в документах следует четко перечислить соответствующие пункты и статьи конкретных нормативных актов, регламентирующих осуществляемый вид деятельности компании и касающихся обработки персональных данных. Поэтому формальной отсылкой к ТК РФ или Закону о персональных данных явно не обойтись. Пример указания конкретной нормы Закона приведем в согласии соискателя на получение работодателем персональных данных от третьих лиц (см. пример 1).
Пример 1. Согласие на получение персональных данных от третьих лиц.
ЗАО "Мир увлечений", расположенное
по адресу: г. Москва, ул. Академика
Загоушинского Александра Вениаминовича,
зарегистрированного по адресу:
г. Москва, Долгоруковская улица, д. 16,
паспорт серии 45 09 N 654321,
выдан п/с N 2 ОВД Тверского района
УВД ЦАО г. Москвы 29.04.2004
Я, Загоушинский Александр Вениаминович, в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" даю согласие на получение моих персональных данных о предыдущих местах работы, периодах трудовой деятельности, деловых качествах от третьих лиц.
Настоящее согласие действует в течение месяца (со дня его подписания по 30.03.) и в любой момент может быть отозвано в письменной форме.
01.03. Загоушинский А. В. Загоушинский
2. Под целью обработки персональных данных работодатели ошибочно указывают саму обработку персональных данных или действия, совершаемые с персональными данными (сбор, хранение, использование и другие). Однако целью это никак назвать нельзя. Здесь следует перечислить, для чего вы собираете и обрабатываете указанную информацию.
Так, работодателю нужно указать, скажем, следующее: "Обработка персональных данных осуществляется для реализации трудовых взаимоотношений с работниками". Возможно, придется указать и другие основания, перечисленные в учредительных документах - уставе, учредительном договоре, положении: "для осуществления видов деятельности, перечисленных в уставе, а именно. ". Ну и, безусловно, не стоит забывать о фактически осуществляемой оператором деятельности.
Указать цель обработки персональных данных потребуется в согласии работника на обработку и передачу персональных данных третьим лицом (см. пример 2).
Пример 2. Согласие на передачу и обработку персональных данных третьим лицом.
ЗАО "Мир увлечений", расположенное
по адресу: г. Москва, ул. Академика
Загоушинского Александра Вениаминовича,
зарегистрированного по адресу:
г. Москва, Долгоруковская улица, д. 16,
паспорт серии 45 09 N 654321,
выдан п/с N 2 ОВД Тверского района
УВД ЦАО г. Москвы 29.04.2004
Даю свое согласие на передачу следующих моих персональных данных:
1) фамилия, имя, отчество;
4) данные об изображении лица;
в целях исполнения заключенного между нами трудового договора в частное охранное предприятие "Железная защита" (г. Москва, ул. Александра Солженицына, д. 30) для любой их обработки в рамках договора об оказании охранных услуг от 14.02. N 16.
Настоящее согласие действует с 05.03. в течение всего срока действия трудового договора. В случае неправомерного использования предоставленных данных, а также по иным причинам согласие может быть отозвано в письменном виде.
05.03. Загоушинский А. В. Загоушинский
Обратите внимание: помимо данных работника в согласии должны быть указаны наименование и адрес работодателя, цель передачи персональных данных, перечень информации, на передачу которой работник дает согласие, и срок, в течение которого оно действует, а также порядок его отзыва.
3. Категории персональных данных указываются не полностью, часто вместо закрытого перечня работодатели пишут фразы "и др.", "и т. п.", "другая информация". Делать это ни в коем случае нельзя. Необходимо перечислять все обрабатываемые категории персональных данных. Перечень должен быть полным, поэтому, написав в положении о защите персональных данных работника, что к персональным данным относятся "анкетные данные", вы совершите ошибку.
Перечислить стандартные категории (Ф. И. О. дату и место рождения, адрес, образование и пр.) компании обычно не забывают. Хотя некоторые данные, например паспортные или данные из свидетельства о рождении, ИНН, данные СНИЛС, сведения о воинском учете, номер телефона, банковские реквизиты работника, работодатели порой не указывают, считая, что "они нужны по закону" и перечислять их нет необходимости. А что говорить об особенных данных, скажем, росте, весе, группе крови или данных об изображении лица!
Надо отметить, что не стоит в кадровых документах перечислять обобщенные категории персональных данных (биометрические или специальные персональные данные), надо их подробно перечислить. Также следует иметь в виду, что под "категориями персональных данных" понимается "информация, относящаяся к физическому лицу" (ст. 3 Закона о персональных данных), поэтому документы, принадлежащие ему, не могут являться категориями персональных данных. Так что вместо "фотография" следует написать "данные об изображении лица", а вместо "паспорт" - "паспортные данные". Пример перечисления конкретных персональных данных можно посмотреть в согласии соискателя на получение работодателем персональных данных от третьих лиц (см. пример 1) и согласии на обработку и передачу персональных данных третьим лицом (см. пример 2).
Добавим, что, несмотря на наличие, например, письменного соглашения о получении работодателем персональных данных о работнике от третьих лиц, в Положении о защите персональных данных работника следует указать на возможность и необходимость запроса подобной информации у третьих лиц. Так, в Положении можно сделать следующую пометку: "Работодатель имеет право проверять достоверность сведений, предоставленных работником. При необходимости затребования персональных данных работника у третьих лиц работодатель должен уведомить об этом работника и получить от него письменное согласие по установленной форме".
4. Указываются не все категории субъектов, чьи персональные данные обрабатываются. По аналогии с категориями персональных данных пишутся фразы типа "и т. д.", "и пр.". Здесь следует четко уяснить, что "категории субъектов" - это определенные группы граждан, у которых обрабатываются одинаковые персональные данные. Скажем, личные дела всех сотрудников содержат одинаковый перечень данных и документов, поэтому у работников обрабатывается равное количество персональных данных, и если вы обрабатываете только данные своих работников, то будет достаточно указать лишь их.
Вместе с тем проверяющие отмечают, что при перечислении категорий физических лиц следует указывать и виды отношений с ними (в т. ч. трудовые, гражданско-правовые). Иными словами, если в вашей организации к отдельным работам привлекаются физические лица по гражданско-правовым договорам, то их тоже придется указывать. Так, нужно будет перечислить и тех и других. Например, в Положении о защите персональных данных сотрудников можно сделать следующую пометку: "Настоящее Положение определяет порядок обработки персональных данных лиц, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с ООО "Энигма" (далее по тексту - Общество)".
5. Перечисляются лишь общие характеристики используемых оператором способов обработки персональных данных, а также порядок передачи информации. Отметим, что общий перечень действий содержится в п. 3 ст. 3 Закона о персональных данных, однако работодателю следует выбрать лишь те из них, которые он фактически совершает, например сбор, систематизацию, хранение, уточнение, использование и передачу.
Кроме того, должны быть перечислены конкретные способы обработки с указанием порядка передачи. Скажем, информация передается по внутренней сети юридического лица и по сети Интернет. Здесь нелишним будет упомянуть два Постановления Правительства - от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Постановление N 687) и от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". В документах вы найдете много волнующих вопросов, например, о том, что относится к обработке в информационных системах. В частности, полезно будет знать, что информация, хранящаяся на компьютере, но для использования распечатываемая на бумаге, относится к данным, осуществляемым без использования автоматизации (п. 1 Положения, утвержденного Постановлением N 687).
При составлении Положения о защите персональных данных работников и других локальных документов вы можете использовать отдельные формулировки из названных Постановлений.
6. Не указываются конкретные меры, которые работодатель обязуется осуществлять при обработке персональных данных и для обеспечения их безопасности. К перечислению способов защиты информации проверяющие относятся очень серьезно и требуют указывать конкретные технические и организационные меры. Чтобы не запутаться, поясним: технические меры направлены на устранение самой возможности утечки информации и ее несанкционированного использования. Например, защита от несанкционированного физического доступа в помещения, где хранится информационная база, защита паролями и картами доступа компьютеров, где установлены и хранятся персональные данные, использование системы паролей в сети Интернет.
В свою очередь, организационные меры направлены на то, чтобы все заинтересованные лица и проверяющие органы были в курсе, как именно и в каких целях происходят защита и обработка персональных данных. Поэтому к организационным мерам относится принятие локальных нормативных актов и иных организационно-распорядительных документов организации (внутренних документов - приказов, положений, регламентов, перечней, сведений).
Средства обеспечения безопасности более конкретны. Это могут быть оборудование помещений охранной системой, наличие видеонаблюдения на этаже и в кабинете, пропускная система и карты доступа.
Проверяющие акцентируют внимание на том, что работодатель должен указать лицо, ответственное за общую организацию защиты персональных данных, например начальника отдела кадров. Для этого необходимо издать приказ (см. пример 3).
Пример 3. Образец приказа о назначении ответственного лица за организацию защиты персональных данных.
Закрытое акционерное общество "Мир увлечений"
(ЗАО "Мир увлечений")
О назначении ответственного лица
за организацию защиты персональных данных
В соответствии с п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"
1. Назначить начальника отдела кадров Авдотьеву И. С. ответственной за организацию защиты персональных данных работников.
2. В связи с новым назначением начальнику отдела кадров Авдотьевой И. С. внести соответствующие изменения в должностную инструкцию начальника отдела кадров, а также Положение о защите персональных данных работников до 12 марта г.
3. Установить ежемесячную доплату Авдотьевой И. С. в размере 5000 руб. к должностному окладу в связи с исполнением дополнительной обязанности по организации защиты персональных данных работников.
4. Начальнику канцелярии Перевертовой К. С. довести настоящий приказ до сведения главного бухгалтера Свободомыслова А. Н.;начальника отдела кадров Авдотьевой И. С. под личную подпись.
Генеральный директор Улиновский Н. Э. Улиновский
С приказом ознакомлены: Авдотьева И. С. Авдотьева ----------
Свободомыслов А. Н. Свободомыслов ----------
Обязанности ответственного сотрудника можно прописать, например, в Положении о защите персональных данных (см. Пример 4).
Пример 4. Выдержка из Положения о защите персональных данных работников.
4. Начальник отдела кадров:
- осуществляет общий контроль за соблюдением работниками мер по защите персональных данных;
- обеспечивает ознакомление сотрудников под личную подпись с локальными нормативными актами, содержащими нормы о защите персональных данных, в частности с настоящим Положением о защите персональных данных;
- истребует с работников письменное обязательство о соблюдении конфиденциальности персональных данных.
7. Не указываются меры ответственности за нарушение норм, регулирующих получение, обработку и защиту персональных данных работников в локальных документах. Начнем с того, что в трудовом договоре должен быть пункт, устанавливающий ответственность работника за разглашение персональных данных (п. 8 ст. 86 ТК РФ).
Если же мы говорим о лицах, ответственных за работу с персональными данными, то они должны быть предупреждены под личную подпись об ответственности за нарушение порядка обработки и защиты персональных данных. Это можно сделать либо в должностной инструкции, либо в Положении о защите персональных данных (см. пример 5).
Пример 5. Выдержка из Положения о защите персональных данных работников.
6.1. Разглашение персональных данных работника Общества, то есть передача посторонним лицам, не имеющим к ним доступа;публичное раскрытие;утрата документов и иных носителей, содержащих персональные данные работника;иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания - выговора, увольнения.
6.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный поступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 Трудового кодекса РФ.
6.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. 188 Уголовного кодекса РФ.
8. Отсутствие в договорах на обработку персональных данных третьим лицом положения об обеспечении конфиденциальности и безопасности персональных данных при их обработке. К третьим лицам здесь могут относиться: страховые, консалтинговые, охранные, аутсорсинговые компании, кредитные учреждения (банки), рекламные агентства и пр. Некоторые работодатели заключают отдельное соглашение о неразглашении персональной информации.
Для примера дадим формулировку пункта в Положении о защите персональных данных (см. пример 6).
Пример 6. Выдержка из Положения о защите персональных данных работников.
4.2. Если Работодателю оказывают услуги юридические и/или физические лица на основании заключенных гражданско-правовых договоров и в силу этих договоров они должны иметь доступ к персональным данным сотрудников Работодателя, то соответствующие данные предоставляются только после подписания с ними соглашения об их неразглашении.
9. Даты начала совершения действий с персональньми данными и прекращения обработки не указываются или указываются размыто. Как отмечают проверяющие из Роскомнадзора, писать следует фактические даты и конкретные основания. Каким образом? Если мы говорим об обработке данных только работников, то, как правило, за дату начала обработки берут дату регистрации юридического лица или дату, которая указана в свидетельстве о государственной регистрации юридического лица, а также дату заключения трудового договора. За дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных, как правило, берут "ликвидацию юридического лица" (см. примеры 1 и 2).
В качестве варианта предложенной в примере 2 формулировки можно указать: "Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме".
10. Отсутствует список лиц, имеющих доступ к персональньм данным, обрабатываемым в информационной системе. Такой список следует утвердить приказом руководителя компании (см. пример 7). Сделать это необходимо еще и потому, чтобы понять, каким образом будут осуществляться доступ и передача персональных данных. Ведь очень важно, чтобы во время передачи рассматриваемой информации не произошла ее утечка или неправомерное использование. Порядок следует предусмотреть в Положении о защите персональных данных.
Например, можно предложить следующую формулировку: "Отдел кадров вправе передавать персональные данные сотрудников в бухгалтерию, службу безопасности и иные структурные подразделения только в случае необходимости исполнения работниками соответствующих подразделений трудовых обязанностей.
Любая передача персональных данных между структурными подразделениями возможна только между сотрудниками, имеющими доступ к персональным данным. При передаче персональных данных начальник отдела кадров предупреждает лиц, получающих доступ к персональным данным, о том, что эти данные могут быть использованы только в тех целях, для которых они сообщены.
Начальник отдела кадров обязан взять письменное обязательство о неразглашении и предупреждении об ответственности с лиц, получающих доступ к персональным данным".
Кроме того, некоторые работодатели прописывают в Положении пункт о том, кто имеет право доступа ко всем персональным данным, например генеральный директор, учредители или совет директоров.
Пример 7. Образец приказа об утверждении списка лиц, имеющих доступ к персональным данным работников.
Закрытое акционерное общество "Мир увлечений"
(ЗАО "Мир увлечений")
Об установлении списка лиц, имеющих
доступ к персональным данным работников
В соответствии со ст. 88 Трудового кодекса РФ и п. 3.2 Положения о защите персональных данных работников ЗАО "Мир увлечений"
1. Установить следующий перечень сотрудников Общества, имеющих доступ к персональным данным работников:
- генеральный директор Улиновский Н. Э.;
- заместитель генерального директора Прушенинников К. С.;
- начальник отдела кадров Авдотьева И. С.;
- главный бухгалтер Свободомыслов А. Н.;
- начальник службы экономической безопасности Прутьев П. Е.;
- начальник отдела продаж Федоскин Н. З.
2. Возложить контроль за исполнением приказа на начальника отдела кадров Авдотьеву И. С.
Генеральный директор Улиновский Н. Э. Улиновский
С приказом ознакомлены:
директора Прушенинников К. С. Прушенинников ----------
начальник отдела кадров Авдотьева И. С. Авдотьева ----------
главный бухгалтер Свободомыслов А. Н. Свободомыслов ----------
начальник службы экономической 05.03.
безопасности Прутьев П. Е. Прутьев ----------
начальник отдела продаж Федоскин Н. З. Федоскин ----------
Как правило, доступ к персональным данным имеют сотрудники работодателя, которым необходима эта информация в связи с исполнением ими трудовых обязанностей. В Положении о персональных данных работников можно предусмотреть порядок действий в случае, если лицо в списке не поименовано, но срочно требуется доступ к данным. Сформулировать пункт об этом можно следующим образом: "Доступ к персональным данным может быть предоставлен иному сотруднику Работодателя, должность которого не поименована в списке лиц, имеющих доступ к персональным данным работника, если этого требует производственная необходимость и выполняемая им трудовая функция. Для этого сотруднику следует составить докладную записку на имя генерального директора с визой непосредственного руководителя".
Это наиболее типичные ошибки работодателей, хотя Роскомнадзор России отмечает и иные. Например, отсутствие на предприятии листа ознакомления сотрудников под личную подпись с Положением о защите персональных данных работника, а также документа, подтверждающего факт информирования лиц о том, что они осуществляют обработку персональных данных без использования средств информатизации. Подобный документ должен содержать категории персональных данных, а также особенности и правила осуществления обработки.
Как видите, к оформлению перечисленных документов стоит подойти со всей серьезностью. И самое главное - соблюдать их требования, поскольку любое нарушение может привести к жалобе недовольного работника в Роскомнадзор. И тогда, несмотря на то что компания маленькая, проверяющие нагрянут в нее с внеплановой проверкой.
и управление персоналом предприятия"
Подписано в печать 15.02.
ПАСПОРТ дорожной безопасностимуниципального бюджетного образовательного учреждения «Средняя общеобразовательная школа № 145»
План-схема района расположения ОУ, пути движения транспортных средств и детей (учеников)
Схема организации дорожного движения в непосредственной близости от образовательного учреждения, маршруты движения детей.
Маршруты движения организованных групп детей от ОУ к международному выставочно-деловому центру «Сибирь».
Пути движения транспортных средств к местам разгрузки/погрузки и рекомендуемые пути передвижения детей по территории образовательного учреждения
