Локальные акты по обработке персональных данных. Локальные нормативно-правовые акты о защите личных прав и персональных данных работников

Какие локальные нормативно-правовые акты должны быть приняты в городском совете в отношении персональных данных муниципальных служащих? Какой алгоритм принятия данных документов?

Ответ

Ответ на вопрос:

На основании ч. 2 ст. 3 Закона № 25-ФЗ на муниципальных служащих распространяется действие трудового законодательства с особенностями, предусмотренными Законом № 25-ФЗ. При работе с персональными данными также нужно учесть и положения Указа Президента от 30.05.2005 № 609 и постановления Правительства РФ от 21.03.2012 № 211

Следовательно, рассмотрев ваш вопрос, можно сказать, что единого перечня локальных нормативных актов, которые должны быть в отделе кадров, не существует: в каждой организации он свой.

Что касается вопроса: Какой алгоритм принятия данных документов?

Порядок разработки локальных нормативных актов законодательно не установлен, поэтому работодатели определяют его самостоятельно.

На практике, порядок разработки локальных нормативных актов можно разделить на следующие этапы:

Также, необходимо назначить ответственного руководителя рабочей группы, который будет координировать участников, и контролировать установленные сроки разработки локального нормативного акта.

В процессе согласования документ передается от лиц, занимающих нижестоящие должности, лицам, занимающим вышестоящие должности.

Согласование локального нормативного акта оформляют реквизитом "Виза согласования документа". Этот реквизит включает подпись и должность визирующего документ, расшифровку подписи (инициалы, фамилию) и дату подписания, например:

1. Определение вопросов, по которым требуются разработка и утверждение локального нормативного акта . На практике такая потребность выявляется в ходе совещаний, планерок. Сами работники организации могут выступить с инициативой создания локального нормативного акта при выявлении в ходе работы неурегулированных вопросов.
2. Определение этапов и сроков разработки локального нормативного акта . На практике работодатель устанавливает их при обсуждении вопросов, в отношении которых требуются разработка и утверждение локального нормативного акта.
3. Создание рабочей группы по разработке локального нормативного акта . Такая группа может состоять из работников отдела кадров, юридического отдела, бухгалтерии. При необходимости включаются руководители подразделений, в отношении которых разрабатывается локальный нормативный акт. Это позволяет решить все спорные вопросы и согласовать документ с заинтересованными подразделениями еще на стадии разработки.
4. Подготовка проекта локального нормативного акта. На практике такой проект разрабатывает участник рабочей группы, назначенный ответственным исполнителем. Остальные члены группы вправе вносить предложения и замечания в ходе подготовки проекта документа. При необходимости ответственный исполнитель дорабатывает его с учетом внесенных замечаний.
5. Согласование проекта локального нормативного акта . На данном этапе проект необходимо согласовать с участниками рабочей группы и другими заинтересованными лицами (подразделениями).
6. После согласования проект передается на утверждение работодателю . Если для принятия локального нормативного акта необходимо учитывать мнение представительного органа работников (профсоюза), то до утверждения работодателем проект документа и обоснование по нему должны быть направлены в этот орган. Такой порядок предусмотрен ст. 372 ТК РФ.

Если в организации есть профсоюз, то до передачи документа на подпись руководителю нужно получить мотивированное мнение профсоюза на данный проект.

Согласно ст. 12 ТК РФ локальный акт вступает в силу со дня его принятия работодателем или со дня, указанного в этом документе.

Работодатель может принять локальные акты следующими способами:

• утвердить;
• издать приказ (распоряжение) об утверждении локального акта.

При утверждении локальных актов необходимо руководствоваться нормами "Унифицированной системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов. ГОСТ Р 6.30-2003" (утв. Постановлением Госстандарта России от 03.03.2003 N 65-ст).

Также, локальный акт может приниматься путем издания приказа (распоряжения). Унифицированной формы для такого приказа не предусмотрено, поэтому работодатель вправе определить ее самостоятельно (образец смотрите ниже). В приказе об утверждении локального акта необходимо отразить:

• дату введения локального акта в действие;
• указание об ознакомлении работников с локальным актом и сроки для этого;
• фамилии и должности лиц, ответственных за соблюдение локального акта;
• другие условия.

В первом случае, на документе гриф утверждения проставляется справа на верхнем поле первого листа документа. В данной графе "Утверждаю" руководитель организации ставит свою подпись и дату утверждения. С этого момента утверждаемый документ вступает в силу и действует до его замены новым. При этом, необходимо отметить, что при утверждении документа грифом "Утверждаю", в дальнейшем не требуется издавать приказ об утверждении.

Во втором случае, издается приказ (распоряжение). При этом, унифицированной формы для такого приказа не предусмотрено, поэтому работодатель вправе определить его самостоятельно. При утверждении документа приказом, гриф утверждения состоит из слова УТВЕРЖДЕН (УТВЕРЖДЕНА, УТВЕРЖДЕНЫ или УТВЕРЖДЕНО), наименования утверждающего документа в творительном падеже, его даты, номера.

Таким образом, можно сказать, что эти два способа утверждения локальных актов являются правомерными.

Подробности в материалах Системы Кадры:

Персональные данные сотрудников

Согласие сотрудника на обработку персональных данных

По ходу деятельности у работодателя возникает необходимость в . Обработка таких данных осуществляется только с сотрудников. При этом согласие должно включать в себя следующую информацию:

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) ().

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в . В такой ситуации организация вправе продолжить с учетом ограничений, указанных в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя ().

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем ().

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в разъяснений Роскомнадзора от 14 декабря 2012 г.

Случаи обработки данных без согласия сотрудника

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, - она может осуществляться без согласия сотрудника - субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

Кроме того, согласие не требуется в следующих случаях:

Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в

1. Ответ: Как организовать обработку персональных данных сотрудников
   • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
   • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
   • цель обработки персональных данных;
   • перечень персональных данных, на обработку которых дается согласие;
   • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
   • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
   • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
   );
2. иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

• обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, и рядом иных актов);
• проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной или ), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
• обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
• обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
• обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Самые важные изменения этой весны!

• 
  В работе кадровиков произошли важные изменения, которые надо учитывать в 2019 году. Проверьте в формате игры, все ли нововведения вы учли. Решите все задачи и получите полезный подарок от редакции журнала «Кадровое дело».
• 
  Читайте в статье: Зачем кадровику проверять бухгалтерию, нужно ли сдавать новые отчеты в январе и какой код утвердить для табеля в 2019 году
• 
  Редакция журнала «Кадровое дело» выяснила, какие привычки кадровиков отнимают много времени, но при этом почти бесполезны. А некоторые из них даже могут вызвать недоумение у инспектора ГИТ.
• 
  Инспекторы ГИТ и Роскомнадзора рассказали нам, какие документы теперь ни в коем случае нельзя требовать у новичков при трудоустройстве. Наверняка какие-то бумаги из этого списка есть у вас. Мы составили полный список и подобрали для каждого запретного документа безопасную замену.
• 
  Если выплатите отпускные на день позже срока, компанию оштрафуют на 50 000 руб. Уменьшите срок уведомления о сокращении хотя бы на день – суд восстановит сотрудника на работе. Мы изучили судебную практику и подготовили для вас безопасные рекомендации.

В соответствии с ч. 1 ст. 5 ТК РФ локальные нормативные акты, содержащие нормы трудового права, регулируют трудовые и иные непосредственно связанные с ними отношения. Как правило, локальные нормы устанавливаются как результат соглашения участников социально-трудовых отношений. Именно в этом и состоит специфика правового регулирования отношений наемного труда на уровне организации Лебедев В.М. Лекции по трудовому праву России. - Томск, 2001..

В любой организации существует определенная совокупность процедур и правил использования информации. Она отражает отдельные этапы получения, хранения, комбинирования, передачи и иного использования информации. Соблюдение указанного алгоритма обработки информации гарантирует информационное обеспечение достижения поставленных работодателем целей. Часть этого технологического процесса составляет обработка конфиденциальной информации, в состав которой входят персональные данные работника. Отношения по соблюдению порядка информационного оборота регламентируются в нормативных документах - локальных актах организации. Эти акты отражают особенности организации, связанные с использованием информации. В настоящее время производственное и технологическое развитие организации во многом зависит от уровня организованности локальной нормоустановительной деятельности Веселова Е.Р. Локальное нормотворчество в организации // Трудовое право. 2004. № 9.. «В дальнейшем, с развитием производственных отношений, усложнением технологических процессов, становлением гражданского общества в России роль локальных (местных) нормативно-правовых актов в сфере регулирования трудовых и тесно примыкающих к ним отношений, входящих в предмет трудового права, будет возрастать. Это объективный процесс, который вызван реальными потребностями жизнедеятельности каждой организации» Ведяшкин С.В. Локальные нормативные правовые акты и их роль в установлении внутреннего трудового распорядка организации. - - Томск, 2001..

Делопроизводство документов конфиденциального характера, в том числе и содержащих персональные данные работника, регламентируется не только текстовыми документами, но и схематическими, графическими актами. В качестве примеров можно назвать движение документации по личному составу в организации, схемы передачи кадровой документации в иные подразделения, структуры делопроизводственных подразделений организации.

Классификация локальных нормативных правовых актов, содержащих нормы об охране персональных данных работника, позволяет оценить их значение и роль в обеспечении права работников на неприкосновенность частной жизни.

Все внутренние (локальные) нормативные правовые акты могут быть общего и специального характера. Критерием в данном случае является круг лиц, на которых распространяется действие акта. Локальные нормативные правовые акты общего характера воздействуют на поведение всех или большинства работников организации, а под действие специальных актов попадают только определенные категории должностных лиц. К документам первого вида относятся коллективный договор, правила внутреннего трудового распорядка, положение о подразделении организации. Специальными локальными правовыми актами являются инструкция по делопроизводству, положение о защите информации, положение о персонале организации, положения о функциональных органах, должностные инструкции.

Одним из локальных нормативных правовых актов, в котором может устанавливаться порядок хранения и использования персональных данных, являются правила внутреннего трудового распорядка организации. Основываясь на требованиях ТК РФ, в разделе «Права и обязанности работников» уместно перечислить права и обязанности работников в этой области. Однако на практике такие примеры встречаются редко. В положения об отделениях и службах организации нормы о защите персональных данных работников обычно включаются разделы о целях и задачах деятельности функционального органа организации.

Существенное количество норм о защите персональных данных работника закреплено в локальных правовых актах организации, регламентирующих информационный оборот, В положениях, инструкциях о делопроизводстве, о порядке заключения договоров, о защите информации, о режиме конфиденциальности и др. регламентируются стадии получения (создания), передачи, хранения и уничтожения сведений. Эти акты регулируют отношения о передаче документированной информации внутри организации и за ее пределами.

Пункт 6 ст. 86 ТК РФ запрещает работодателю при принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Указанное ограничение касается создания персональных данных в электронном виде. Это требование связано с тем, что новые методы обработки информации, повышая уровень информированности общества и коэффициент полезности использования его информационных ресурсов, одновременно увеличивают степень уязвимости информации.

Ряд документов организации регулирует отношения исключительно в сфере использования информационных технологий. Как правило, в каждой организации утверждается самостоятельная, учитывающая ее специфику, делопроизводственная инструкция о работе с документами, содержащими сведения конфиденциального характера. На уровне организации принимаются документы о порядке доступа к локальной информационной сети, о защите критически важной информации, об использовании электронной почты, о правилах доступа к ресурсам Интернета и др.

Пункт 8 ст. 86 ТК РФ обязывает работодателя и его представителей при обработке персональных данных знакомить под расписку работников и их представителей с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях. Пункт 10 ст. 86 ТК РФ обязывает работодателей, работников и их представителей к совместной разработке мер защиты персональных данных. Часть 5 ст. 88 ТК РФ требует осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку. Эти законодательные положения в литературе трактуются по-разному.

Регламентация порядка передачи персональных данных должна быть закреплена в правилах внутреннего трудового распорядка, в положении о персонале, и работодатель должен нести соответствующую обязанность. Что касается разработки специализированного локального акта, то Л.В. Тихомирова считает, что ТК РФ закрепил возможность, а не обязанность работодателя по принятию соответствующего отдельного нормативного акта Тихомирова Л.В. Ibid..

Охрана персональных данных работника осуществляется не только в локальных нормативных актах. Значительная часть отношений по защите персональных данных регулируется в договорном порядке. Организации заключают договоры и соглашения о передаче персональных данных на законных основаниях третьим лицам (в отделения Пенсионного фонда РФ, военные комиссариаты, налоговые инспекции и др.), о защите передаваемой информации средствами криптографии и шифрования и др. Отдельные условия о защите конфиденциальной информации находят отражение в трудовых договорах.

Параллельно ведомство дает разъяснения. В том числе, и о форме локального нормативного акта (далее ЛНА) в области обработки персональных данных. Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации.

Какие условия должны быть указаны в ЛНА?

2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.

3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений.

Например, ЛНА могут определять:

• общие принципы обработки данных,
• порядок обработки данных на бумажных носителях,
• порядок обработки данных в информационных системах,
• порядок хранения персональных данных,
• порядок передачи данных,
• порядок обработки данных должностными лицами и проч.

• «персональные данные»,
• «оператор»,
• «обработка персональных данных»,
• «трансграничная передача персональных данных» и проч.

Что написать в ЛНА

Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.

Примеры целей:

• использование персональных данных в информационных системах, с которыми работает компания,
• использование данных при составлении документов,
• передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
• сбор данных для принятия решения о приеме кандидата на работу и проч.

Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям.
Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email.

Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья). Доступ к персональным данным

В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным.

Внутренний доступ.

Может быть полным и ограниченным.

При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников.

При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки).

Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч. 1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Назначить можно прямым приказом работодателя или прописать должность в ЛНА.

Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.).

Ответственный сотрудник будет:

• контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;
• информировать сотрудников о новых нормах, локальных актах о персональных данных;
• принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.

В ЛНА нужно указать:

• наименование и местонахождение третьих лиц,
• цели передачи данных и объемы,
• перечень действий по обработке,
• способы обработки,
• требования к защите данных.

Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.).

Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз.

Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.).

Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений). Обеспечение конфиденциальности данных

В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных.

Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21):

• определение угроз безопасности,
• обнаружение фактов несанкционированного доступа,
• применение мер по обеспечению безопасной обработки данных,
• защита технических средств, на которых хранятся данные,
• установка антивирусов и проч.

Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч.

В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687). Копировать информацию из журнала нельзя.

В ЛНА нужно закрепить:

• порядок пропуска гостей на территорию предприятия (ведение журнала и проч.),
• данные, которые охрана запрашивает у гостей и вносит в журнал,
• цели сбора и обработки данных гостей,
• сроки обработки данных,
• перечень лиц (имена или должности), которые ведут журнал и отвечают за его сохранность и проч.

Локальный нормативный акт можно опубликовать на сайте компании, на внутреннем портале организации, наконец, на стендах в офисе. Главное — донести информацию до реальных и потенциальных субъектов персональных данных (сотрудников, партнеров и проч.).

ЛОКАЛЬНЫЕ АКТЫ, РЕГЛАМЕНТИРУЮЩИЕ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Гультяева К.И.

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«Тюменский государственный университет»
rok _1212_92@ mail . ru

Для выполнения своих обязательств в рамках трудового, налогового и бухгалтерского законодательства работодатель должен использовать и оперировать персональными данными работника. Однако закон о персональных данных требует от работодателя, который в данном случае является «оператором персональных данных» и выполняет «обработку персональных данных» , обеспечить безопасность этой информации.

В соответствии с гл. 14 ТК РФ каждая организация обязана разработать и ввести в действие локальные нормативные акты, которые определяют порядок работы с персональными данными ее работников.

Такими локальными актами, как правило, являются:

Положение об обработке и защите персональных данных;

Приказ об утверждении обязательств о неразглашении персональных данных;

Перечень должностей, допущенных к персональным данным;

Приказ о назначении ответственных лиц за организацию обработки персональных данных;

Согласие на обработку персональных данных работника Оператора, иных субъектов персональных данных;

Для выполнения всех требований законодательства работодатель должен соблюсти ряд условий обработки персональных данных. Перед заключением трудового договора работник должен дать согласие на обработку персональных данных. В этом согласии должны быть указаны следующие сведения:

1. Ф.И.О., адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2. наименование и адрес работодателя, получающего согласие сотрудника;
3. цель обработки персональных данных;
4. перечень персональных данных, на обработку которых дается согласие работника;
5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
6. срок, в течение которого действует согласие;
7. порядок отзыва заявления.
8. подпись работника.

Согласно ст. 9 Закона №?152?ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Оно может быть дано работником (его представителем) в любой позволяющей подтвердить факт его получения форме (письменной, в форме электронного документа, подписанного в соответствии с Федеральным законом от 06.04.2011 №?63?ФЗ «Об электронной подписи» электронной подписью).

Положение о защите персональных данных работников. Этот документ регламентирует в рамках отдельной организации требования к получению, обработке персональных данных работника, установить гарантии их защиты, порядок хранения и использования, а также права работника по защите его персональных данных и ответственность работодателя за их охрану и защиту. Иными словами, организация на основе российского законодательства и с учетом особенностей кадрового учета создает и закрепляет нормативным актом порядок работы с персональными данными.

В Положении должны быть указаны:

Цель и задачи фирмы в области защиты персональных данных;

Понятие и состав персональных данных;

В каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;

Как происходит сбор персональных данных;

Как они обрабатываются и используются;

Кто (по должностям) в пределах фирмы имеет к ним доступ;

Как персональные данные защищаются от несанкционированного доступа;

Права работника в целях обеспечения защиты своих персональных данных;

Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

При его разработке используют общие правила оформления организационных документов: в заголовочной части указываются наименование организации, дата и номер документа, в правом верхнем углу располагается гриф утверждения.

Положение об обработке и защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя.

В разделе «Общие положения» формулируется цель разработки персональных данных, даются ссылки на законодательные акты, на основании которых создан документ, определяется порядок введения положения в действие и порядок его пересмотра. Здесь же устанавливается конфиденциальность информации и ответственность должностных лиц организации за разглашение персональных данных.

Второй раздел, «Состав персональных данных работника», включает список данных работника, которые он сообщает работодателю при наступлении трудовых отношений, и сведений, возникающих в ходе этих отношений. Кроме того, здесь должна содержаться информация, необходимая организации для предоставления в военкоматы, органы налоговой службы, социального обеспечения, Пенсионного фонда. Раздел небольшой по объему, но принципиально важный для работников организации. Так, в него могут войти следующие сведения:

1. фамилия, имя, отчество;
2. дата рождения;
3. место рождения;
4. гражданство;
5. знание иностранного языка;
6. образование;
7. специальность, профессия;
8. стаж работы;
9. состояние в браке;
10. состав семьи;
11. паспортные данные;
12. адрес места жительства (по паспорту и фактический), дата;
13. регистрации по указанному месту жительства, телефон;
14. сведения о воинском учете;
15. сведения о заработной плате.

В разделе «Создание, обработка, хранение персональных данных», как правило, содержится информация о структурных подразделениях организации (или о должностных лицах), которые работают с персональными данными. Здесь же следует указать виды носителей (только традиционная бумажная форма, сочетание традиционной и электронной формы), на которых фиксируются персональные данные.

В четвертом разделе, «Доступ к персональным данным», устанавливается порядок пользования персональными данными каждым структурным подразделением организации. Оговаривается порядок доступа к ним должностных лиц и работника, к которому эти сведения относятся, третьих лиц по доверенности работника, порядок предоставления персональных данных другим организациям и гражданам. Например: «Персональные данные работников организации предоставляются в установленном порядке в органы Пенсионного фонда РФ, в органы социального обеспечения, контрольно-надзорным органам. Персональные данные работников организации предоставляются страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам при наличии копии договора с работником и его письменного согласия».

В разделе положения, «Защита персональных данных», перечисляются меры защиты информации от несанкционированного доступа и разглашения. Необходимо указать, в каких структурных подразделениях организации хранятся документы и электронные носители, содержащие персональные данные. Это может быть служба кадров, бухгалтерия, служба безопасности, отдел режима и т.д. Следует описать меры защиты данных, хранящихся в бумажной форме, – запирающиеся шкафы, сейфы, опечатанное помещение, пропускной режим и т.п., а также меры защиты сведений на электронных носителях.

В разделе «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников» прописывается ответственность лиц, нарушивших данный документ.

Положение о защите персональных данных подписывается руководителем кадровой службы. Документ может быть согласован с заинтересованными должностными лицами, например работниками бухгалтерии, юридической службы, службой безопасности и др. С ним следует ознакомить весь персонал организации под расписку.

Сотрудники, принимаемые на работу, знакомятся с положением о защите персональных данных точно так же, как и с другими локальными актами организации – коллективным договором, правилами внутреннего трудового распорядка, положением об оплате труда, должностной инструкцией и др. При этом в соответствии со ст. 68 ТК РФ такое ознакомление проводят под роспись и до подписания трудового договора.

Мерой защиты персональных данных является и обязательство должностных лиц организации о неразглашении персональных данных. (Приложение 4) В соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» работа с такими сведениями считается неавтоматизированной при непосредственном участии человека.

Следовательно, от всех сотрудников организации, имеющих отношение к получению, обработке, хранению персональных данных, должны быть получены расписки о неразглашении. Форма такой расписки может быть дана в приложении к документу. Сами расписки должны храниться в одном деле с подлинником положения. По мере смены должностных лиц эти обязательства должны обновляться.

Далее согласно ст. 6 Положения № 687 все работники работодателя, работающие с персональными данными, должны быть проинформированы о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки. Для реализации этой нормы права целесообразно заключить со всеми работниками соответствующий договор.

В этом документе, который может быть частью соответствующего трудового договора, должны быть указаны обязанности работников, их ответственность за нарушения режима конфиденциальности.

Можно сказать, что защита, хранение и обработка конфиденциальной информации (персональных данных) является трудоёмкой и для этого в организациях разрабатывается много важных документов.

Список использованных источников:

1. Герасимов Е.С. Трудовое право России: учебник для бакалавров / Е.С. Герасимов, Ю.П. Орловский.-М.:Изд. Юрайт, 2014. - 854 с.

2. Давыдова Е.В. Персональные данные работников / Е. В. Давыдова // Отдел кадров коммерческой организации. - 2015. - №3.

3. Соколова Г.А. Персональные данные работников / Г. А. Соколова // Кадровая служба и управление персоналом предприятия. - 2013. - №7.

4. Тихомирова Л. В. Защита персональных данных работника: учеб.-практ. пособие / Л.В. Тихомирова. - М.: 2013.

5. Как оформить Положение о защите персональных данных сотрудников [Электронный ресурс] / Справ. бухгалтера. - 2014. - http://www.buhgalteria.ru/article/n50559

Работодатель отвечает за сохранность таких конфиденциальных сведений, как персональные данные сотрудников, которые он получил в связи с трудовыми отношениями. И одной из основных обязанностей в этой сфере является разработка и утверждение локальных нормативных актов.

О том, что это за документы, какие правила они содержат и как работодателю организовать весь процесс - от составления текста до выполнения закрепленных предписаний, - пойдет речь в нашей статье.

Читайте также:

Новая ответственность за нарушения в персданных.

Условия и правила защиты персональных данных

Правила и условия защиты персональных данных регламентируются:

1. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ).
2. Трудовым кодексом РФ.
3. Иными федеральными законами.
4. Подзаконными актами.
5. Нормативными правовыми актами государственных органов, Банка России, органов местного самоуправления, принятыми ими на основании и во исполнение федеральных законов в пределах предоставленных полномочий.
6. Локальными нормативными актами работодателя.

Закон № 152-ФЗ предусматривает, что у юридического лица должны быть:

• документы, определяющие политику оператора в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1);
• локальный нормативный акт по вопросам обработки персональных данных (п. 2 ч. 1 ст. 18.1);
• локальный нормативный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1);
• локальный нормативный акт по вопросам обучения работников, непосредственно осуществляющих обработку персональных данных (п. 6 ч. 1 ст. 18.1).

Обратите внимание!

Если международным договором РФ установлены иные правила, нежели предусмотренные Законом № 152-ФЗ, применяются правила международного договора.

ТК РФ обязывает работодателя иметь:

• документы, устанавливающие порядок обработки персональных данных работников, в том числе определяющие их права и обязанности в области персональных данных;
• локальный нормативный акт, утверждающий порядок передачи персональных данных в пределах одной организации или у одного индивидуального предпринимателя.

Требования к операторам, осуществляющим обработку персональных данных

Какие требования предъявляются к операторам, обрабатывающим персональные данные в информационных системах?

Из постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» можно сделать вывод, что помимо перечисленных выше мер оператор для обеспечения безопасности персональных данных должен также определить лицо, осуществляющее их обработку.

Кроме того, в зависимости от уровня защищенности персональных данных (а их всего четыре) оператор также должен:

• определить круг лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
• создать структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возложить такую функцию на одно из имеющихся подразделений.

Словарь кадровика

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона № 152-ФЗ).

Существуют ли какие-то требования к составу локальных документов в случае обработки персональных данных сотрудников без использования автоматических систем?

В силу постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее - постановление Правительства № 687) оператор должен определить Правила обработки персональных данных, осуществляемой без использования средств автоматизации, и ознакомить с ними лиц, занимающихся такой обработкой. Также предусматривается необходимость закрепления:

• перечня лиц, осуществляющих обработку персональных данных без средств автоматизации;
• перечня мер, необходимых для обеспечения сохранности персональных данных при обработке без использования средств автоматизации;
• перечня лиц, ответственных за реализацию указанных мер.

Полагаем, что все эти три документа могут быть объединены в один локальный нормативный акт.

При этом, несмотря на формулировку «перечень лиц», целесообразно указывать должности согласно штатному расписанию, а не называть пофамильно конкретных сотрудников, осуществляющих обработку персональных данных.

Итак, нормативно закреплен достаточно обширный перечень локальных нормативных актов по защите персональных данных. Их конкретный набор зависит от того, какие персональные данные и каким способом обрабатываются в данной компании.

Кроме того, локальные документы по защите персональных данных можно разграничить по принципу, должны ли они быть доступны всем сотрудникам или только некоторым.

Положение об обеспечении конфиденциальности, обработке и передаче персональных данных работников организации должно быть доступно всем сотрудникам, так как речь идет об их персональных данных.

Дополнительно могут быть разработаны и утверждены положения об обеспечении безопасности персональных данных, об их обработке в информационных системах, о структурном подразделении по обеспечению безопасности персональных данных. Эти акты должны быть доступны только тем сотрудникам, которые обеспечивают безопасность персональных данных.

Иными словами, в первом случае речь идет об исполнении обязанностей работодателя по обеспечению конфиденциальности, обработке и передаче персональных данных, во втором - о защите персональных данных работодателем и лицами, которые получают к ним доступ.

Содержание локального акта, регулирующего вопросы обработки персональных данных

Локальный нормативный акт, регулирующий вопросы обработки персональных данных, может состоять из следующих разделов:

1. Общие положения.

Здесь следует раскрыть цели и задачи учета, хранения, обработки персональных данных.

2. Перечень персональных данных.

При составлении перечня необходимо принимать во внимание общедоступность персональных данных. Общедоступными они становятся в двух случаях.

Случай 1 . В силу прямого указания закона.

Так, согласно ст. 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» образовательное учреждение обязано размещать на официальном сайте сведения о руководителе образовательной организации, его заместителях, руководителях филиалов (при их наличии); о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы.

Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» обязывает медицинскую организацию информировать Словарь кадровика Оператор - государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее ее цели, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона № 152-ФЗ) граждан в доступной форме, в том числе с использованием Интернета, о мед работниках медицинских организаций, об уровне их образования и квалификации (ст. 79).

Федеральный закон от 03.12.2012 № 230-ФЗ «О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам» обязывает граждан, занимающих определенные государственные и муниципальные должности, предоставлять для размещения в Интернете на официальных сайтах федеральных госорганов, госорганов субъектов Российской Федерации, органов местного самоуправления, Банка России, государственных корпораций, Пенсионного фонда Российской Федерации, Фонда социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования, иных организаций, созданных Российской Федерацией на основании федеральных законов, сведения об источниках получения средств, за счет которых совершена сделка по приобретению земельного участка, другого объекта недвижимости, транспортного средства, ценных бумаг, акций (долей участия, паев в уставных (складочных) капиталах организаций), если сумма сделки превышает общий доход этого гражданина и его супруги (супруга) за три последних года, предшествовавших совершению сделки.

Случай 2. По решению самого субъекта персональных данных.

Если федеральным законом перечень общедоступных персональных данных не определен, субъект персональных данных может сделать их общедоступными сам, подписав соответствующее согласие.

Очевидно, что в трудовых отношениях существует необходимость рассмотрения в качестве общедоступных сведений о фамилии, имени, отчестве, должности работника. Такая общедоступность внутри компании требуется, например, для обеспечения коммуникаций, организации внутренних телефонных и почтовых справочников и др.

Также в данном разделе желательно указать, какие документы содержат персональные данные работников.

3. Порядок обработки персональных данных.

Здесь прописываются правила работы с персональными данными соискателей, работников, бывших сотрудников. Перечисляются органы и организации, в которые компетентные лица работодателя обязаны представлять персональные данные работников без их согласия.

Словарь кадровика

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ)

4. Перечень должностей и (или) лиц, имеющих доступ к персональным данным работников.

Перечисляются должности, замещение которых предполагает работу с персональными данными сотрудников.

5. Порядок доступа к персональным данным. Правила их передачи.

В этом разделе устанавливается порядок доступа к персональным данным. Прописывается регламент их передачи внутри организации и за ее пределы. Определяется процедура допуска должностных лиц работодателя к персональным данным.

6. Ответственность работодателя за соблюдение режима конфиденциальности персональных данных работников.

7. Ответственность должностных лиц работодателя за разглашение персональных данных.

8. Заключительные положения.

В локальном акте также должны быть предусмотрены организационные и технические меры защиты, аналогичные тем, что обеспечивают защиту коммерческой тайны в компании.